我遇到一种情况,我想使用已知的 48 位恢复密钥解密“损坏的”受 Bitlocker 保护的驱动器(Windows 10 分区)。损坏意味着,我执行了一个恢复(Windows 内部恢复系统映像)过程,但该过程卡住了,留下了一个似乎无法使用的 Bitlocker 标头,因此 Microsoft 工具 repair-bde 或 manage-bde -status 无法将该驱动器识别为受 Bitlocker 保护的驱动器。*
是否有人知道如何使用恢复密钥解密加密的原始磁盘映像,以获取另一个(但已解密的)原始磁盘映像(我可以使用该映像执行进一步的数据恢复步骤)?
* 由于这与问题没有直接关系(但主题可能会出现),我将在这里为感兴趣的人更详细地描述我的情况:没有 TPM 的笔记本电脑。两个固定驱动器,一个装有 Windows 10,受 Bitlocker 保护,另一个是辅助(数据)驱动器,也受 Bitlocker 保护。第二个驱动器设置为在启动操作系统时自动解锁。系统映像(Windows 内部备份和恢复功能)存在于第二个驱动器上,我试图将其恢复到主驱动器上。该恢复过程崩溃,导致系统无法使用。三个明显的错误(是的,我吸取了教训......):1. 我没有在独立(外部)驱动器上进行其他备份,2. 在使用脆弱的 Windows 恢复之前,我没有创建完整系统驱动器的原始映像,3. 我只有用户定义的密码对于第二个驱动器,而不是恢复密钥(48 位数字或 .bek 文件)。不幸的是,如果没有我刚刚终止的操作系统,密码本身对我没有任何帮助,相应地切换到自动解锁似乎会更改“钥匙串”,因此目前无法访问第一个驱动器的备份。
我想到最后两种方法是看看我可以从主驱动器中拯救什么,看看我是否可以提取存储的自动解锁密钥(进一步阅读此这里),以解锁辅助驱动器,其上带有完整的系统映像。
答案1
更新:微软的恢复过程似乎首先会擦除驱动器,然后恢复映像未加密(至少是崩溃的程度)可能在再次加密之前。因此,我现在能够使用常规恢复工具恢复主操作系统驱动器上的相关用户数据。
正如我之前所写,计算机有一个固定的第二个 Bitlocker 加密驱动器,该驱动器在出现故障的 Windows 还原过程之前设置为自动解锁。
通过恢复主驱动器,我能够获得数据密钥存储在注册表中
HKLM\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\
以 70 00 00 00 09 00 00 00 14 aa 47 e0 89 4e 0e 4c 开头...
我有读这是一个 DPAPI 加密密钥,应该可以使用以下方式解密数据保护解密器但它不是以标准 DPAPI 序列 01 00 00 00 D0 8C 9D 开头... 。所以目前我不知道使用哪些信息(密钥)以及它们来自哪里来将此密钥转换为有效的 Bitlocker 恢复密钥?