由于 TrueCrypt 的安全宣传力度很大,我决定尝试使用 VHD + BitLocker 创建加密容器。这项测试持续了几天,一切顺利。我昨天刚使用过这个驱动器,没有任何问题。
通常,当我安装 VHD 时,Windows 8.1 会提示我输入 BitLocker 密码。今天没有这样做。我查看了磁盘管理,它现在将其视为 RAW 分区。
我们来看看它现在的分区:
Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Reserved 128 MB 17 KB
* Partition 3 OEM 992 KB 128 MB
Partition 2 Primary 99 GB 129 MB
在十六进制编辑器中,我看到了看起来像典型的 Windows 引导加载程序的内容。但是,我还看到了以下似乎与分区有关的信息:
Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
0000000430 00 00 00 00 00 00 00 00 4D 00 69 00 63 00 72 00 ........M.i.c.r.
0000000440 6F 00 73 00 6F 00 66 00 74 00 20 00 72 00 65 00 o.s.o.f.t. .r.e.
0000000450 73 00 65 00 72 00 76 00 65 00 64 00 20 00 70 00 s.e.r.v.e.d. .p.
0000000460 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 a.r.t.i.t.i.o.n.
0000000470 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0000000480 A2 A0 D0 EB E5 B9 33 44 87 C0 68 B6 B7 26 99 C7 ¢ Ðëå¹3D‡Àh¶·&™Ç
0000000490 95 C4 1D F2 FE 73 31 43 B0 04 5C 6E 59 14 0E D2 •Ä.òþs1C°.\nY..Ò
00000004A0 00 08 04 00 00 00 00 00 FF F7 7F 0C 00 00 00 00 ........ÿ÷......
00000004B0 00 00 00 00 00 00 00 00 42 00 61 00 73 00 69 00 ........B.a.s.i.
00000004C0 63 00 20 00 64 00 61 00 74 00 61 00 20 00 70 00 c. .d.a.t.a. .p.
00000004D0 61 00 72 00 74 00 69 00 74 00 69 00 6F 00 6E 00 a.r.t.i.t.i.o.n.
00000004E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000004F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0000000500 A1 AE ED 38 D5 E0 88 48 A9 70 8E 03 E6 0B F0 6A ¡®í8ÕàˆH©pŽ.æ.ðj
0000000510 C1 62 12 46 05 5D DD 42 9C F0 39 1D 34 FE 91 12 Áb.F.]ÝBœð9.4þ‘.
0000000520 40 00 04 00 00 00 00 00 FF 07 04 00 00 00 00 00 @.......ÿ.......
0000000530 01 00 00 00 00 00 00 00 4D 00 63 00 41 00 66 00 ........M.c.A.f.
0000000540 65 00 65 00 45 00 70 00 65 00 52 00 65 00 73 00 e.e.E.p.e.R.e.s.
0000000550 65 00 72 00 76 00 65 00 64 00 00 00 00 00 00 00 e.r.v.e.d.......
McAfee Endpoint Encryption 是否也以某种方式加密了我的 BitLocker 加密容器?或者 Microsoft Bitlocker 是否隐藏了 McAfee 技术?
无论如何,我该如何恢复剩余的数据?查看驱动器上的原始数据,它不仅仅是空白空间。
我尝试repair-bde使用密码和恢复密钥,但都没有结果。
任何帮助将非常感激。
答案1
正如我的十六进制转储所显示的以及@Ramhound 所建议的,McAfee Endpoint Encryption 确实加密了我的驱动器。
这会产生一个 VHD 文件,其中包含以下内容:
- McAfee 加密
- BitLocker 加密
- 数据
- BitLocker 加密
因此,当我将 VHD 安装在没有 McAfee 加密的计算机上时,它会将其视为 RAW 数据。不幸的是,端点加密特定于安装它的笔记本电脑。这基本上使我的 VHD 无法被其他任何计算机读取。
好消息是我能够在原始计算机上安装 VHD,输入我的 BitLocker 密码并检索我的数据。
我猜测 VHD 被视为本地驱动器,并且 McAfee 策略可能设置为加密所有本地驱动器。
基本上,不要在具有自动加密本地驱动器策略的系统上使用 VHD + BitLocker。我完全使用 BitLocker 加密的驱动器没有遇到同样的问题,可能是因为 McAfee 将其视为外部驱动器。
我在使用 VeraCrypt(或之前的 TrueCrypt)和 McAfee 时没有遇到任何问题 - 它不会自动加密这些容器。