Hallo,
ich habe hier ein Acer Travelmate 290 Laptop (Bj.2003, Pentium-M 1.4GHz, Centrino, 15"TFT, 30GB oder 40GB HDD), bei dem ich aufgrund eines Defekts das CMOS gelöscht habe. Zwar funktioniert das Notebook jetzt wieder, aber die Festplatte ist verschlüsselt und damit nicht lesbar. Kein großes Ding wenn die Daten weg sind (ist nicht meins ;)), würde mich aber schon interessieren, ob man es wieder hinbekommen kann.

Die Daten der Platte sind verschlüsselt bis auf MBR und kurioserweise dem Bootblock von XP, dieser befindet sich eigentlich schon auf der Partition, die ansonsten komplett vercryptet ist. Ich bin sporadisch mit einem Hexeditor über die Platte gefegt und konnte keinerlei 0x00 oder Text/Ascii Blöcke ausfindig machen.

Ich kann mit BartPE (oder meinem Desktoprechner) auf die Platte zugreifen (C und D) und es befindet sich lediglich jeweils ein 'System Volume Information' Ordner auf den Partitionen. Keine Ahnung, ob diese Ordner zur Laufzeit generiert werden. Schreibversuche habe ich noch keine unternommen. Vielleicht kann man noch was retten.

Das Bios hat die Funktion 'Lock HardDisk Drive' (siehe Bild). Diese kann man nur aktivieren, nachdem man ein Supervisor Passwort eingegeben hat. Sollte ein Passwort existiert haben, bekomme ich das durch den Besitzer raus.

Die Frage ist, kennt sich damit jemand aus? Meines Erachtens ist das so eine Art (quasi) hardwaremäßige Verschlüsselung, die bei Diebstahl oder Passwortrücksetzung wenigstens die Daten unbrauchbar macht. Würden die Daten wieder "erscheinen" wenn das richtige Supervisor Passwort gesetzt werden würde oder wird beim Initialisieren der Festplatte (wie z.B. Ersteinbau oder CMOS Reset) die HDD automatisch und zufällig mit dem Gerät "verheiratet", unabhängig von der besagten Biosfunktion?

Weiß da jemand näheres?

http://img185.imageshack.us/img185/9817/bioshm3.png

Bei der ATA Spezifikion ab wurden security features eingeführt, die das Verschlüsseln der Festplatte erlauben. Wobei ich es komisch finde, daß MBR und Partitionstabelle nicht verschlüsselt sind, aber das mag eine Eigenart Deiner Festplatte sein.

Mir fallen dazu zwei Sachen ein. Zum einen bieter Linux die Möglichkeit, Befehle de ATA Security Feature Set zu senden (Befehl: hdparm. Infos: man hdparm). Allerdings ist das noch experimentell und daher nicht unbedingt zu empfehlen.
Die zweite Sache ist dieser Link (http://www.rockbox.org/lock.html). Ist zwar für Archos player mit rockbox gedacht, aber letztendlich benutzt der auch nur eine IDE-Festplatte.

Das Problem bei beiden Lösungen: Man braucht ein Passwort, das kannst Du ja schon im BIOS eingeben. Wenn dieses irgendwie an die Hardware gebunden ist, wird Dir das alles noch weniger helfen.

Bist du sicher, dass es sich um eine Verschlüsselung handelt? Es gibt doch auch ein Lock irgendwo in den IDE/ATA Spezifikationen, dass gesetzt werden kann um lediglich den Zugrif zur Platte zu sperren. Die C'T hat da (oder tut es noch) vor einiger Zeit vor gewarnt, dass es Viren gibt, die den Nutzer quasi aussperren. Dabei handelt es sich aber nicht um eine komplette Verschlüsselung... Da ich das nicht mehr so ganz auf die Reihe bekommen, vielleicht hilft dir das weiter:

http://www.heise.de/ct/projekte/atasecurity/

Wenn Teile der Festplatte unverschlüsselt sind (MBR, Bootblock), dann kann es eigtl. meiner Meinung nach doch eigtl. keine Sperrung über das ATA-Featureset sein weil dann doch der gesamte Zugriff auf die Platte verhindert werden müsste oder?

Die Platte wurde schon vor Übergabe des Geräts gesichert und gelöscht, d.h. keine Verschlüsselung. Das erklärt einiges...