首先,我不是在谈论满的驱动器加密。Bitlocker 具有加密功能已用空间只是。我正在谈论这个。
Bitlocker 是否会删除因删除文件而导致的未分配数据的加密?
我的猜测:不。因为它可能带来数据安全风险。请确认。
如果我的猜测正确,那么在我解锁驱动器后,Bitlocker 是否也会解密未分配的数据?我想知道我是否可以从解锁的驱动器中恢复已删除的数据。我不确定是否有积极的影响,因为性能是此选项的主要宗旨(仅加密使用的空间)。
答案1
这个问题来自这个TechNet 文章有助于澄清这个问题:
BitLocker 在读写数据时是否会同时加密和解密整个驱动器?
不会,BitLocker 在读取和写入数据时不会加密和解密整个驱动器。受 BitLocker 保护的驱动器中的加密扇区仅在系统读取操作请求时才解密。写入驱动器的块在系统将其写入物理磁盘之前会进行加密。受 BitLocker 保护的驱动器上永远不会存储任何未加密的数据。
就您的问题而言,这意味着:
- 如果您的驱动器上已经有或曾经有敏感数据,建议执行全驱动器加密,因为这将确保任何以前删除的数据也被加密。
- 如果磁盘中没有敏感信息,则可以使用仅使用空间选项。将来写入磁盘的所有数据都经过加密,因此,如果在使用此选项后您稍后删除敏感信息,则仍然在驱动器上加密。
至于从未锁定的驱动器恢复数据,执行此操作的应用程序应该可以像在任何正常驱动器中一样看到数据,因为它们的调用被 BitLocker 拦截,BitLocker 会逐块处理加密/解密。
答案2
我想知道是否可以从未锁定的驱动器中恢复已删除的数据。
在过去的 48 小时内,我曾这样做过,因为我断电了,无法访问加密分区。它不接受密码。
我使用 WinHex 将加密分区克隆到另一个驱动器,这样“我”就可以攻击它,然后对其设置 Passware Kit Forensic。花了 6 个小时,但得到的是一个垃圾密码,我确信它不会起作用,但它确实起作用了。所以我能够解密分区。
我无法在实时文件中找到我要找的内容,因此我使用 NTFSUndelete 搜索破解和之前加密的分区中已删除的文件区域。
虽然我仍无法找到我要找的东西(我现在怀疑它根本不在这个驱动器上),但我能够从分区中提取旧的和以前删除的文件。加密过程不会将这些文件乱码为无意义的字符串/二进制数据,如果这是你担心/希望的。
您可以从之前使用 BitLocker 加密的卷中提取已删除的文件。(Win 7 Ult)我显然不能说这是否适用于每一种情况,但并非完全不可能。