恢复/修复 BitLocker USB

恢复/修复 BitLocker USB

我找到了很多关于 BitLocker 主题的帖子,但没有找到任何可以解决我的情况的东西。

我将 BL 加密 USB 连接到笔记本电脑,关闭笔记本电脑使其进入睡眠状态(过一段时间),拔下 USB 并收起笔记本电脑。几天后,当我去完成我的项目时,USB 现在显示需要格式化。我想当我移除它时它一定还在进行一些 R/W 过程。

现在我仍有 PW,但没有 RP 或 RK 信息(我仍在搜索是否已将 RK 保存在文件中)。我尝试使用 repair-bde 创建 .img 文件,似乎成功了(报告 100% 解密),但我不知道下一步该怎么做。我检查了我们的 M3 恢复,它确实显示了我需要的所有数据,但我真的没有理由花 150 多美元购买它的许可证。所以我正在想办法现在该怎么做。

当我尝试安装恢复后重新创建的 .img 时,我收到相同的消息,提示需要格式化和/或映像已损坏。格式化并尝试使用 Recuva 无法从驱动器中获得我需要/想要的文件,到目前为止我发现的其他任何方法也无法提供。

因此,此时我猜测 .img 无法正确挂载的原因是它没有任何分区数据,但我不知道。我见过使用不同软件的情况,并且我尝试了每种方法,但它们都没有产生任何我可以在不重新格式化的情况下挂载的东西,当然格式化也没有任何作用。

附加信息

因此,我还注意到 M3 有一个操作,它列为“重建分区结构”。因此,另一个问题是如何我可以手动进行操作。我可以看到所有数据都在那里,现在只需如何我可以用读取权限来访问它。

答案1

前言

由于我在搜索时找不到这些信息(我搜索了很多),所以我在这里回答。现在互联网上至少有一个地方可以为将来遇到相同问题的任何人(高级用户或更高级别)回答这个问题。

无论如何,你必须拥有 BitLocker 加密数据的密码之一,才能恢复数据。以下信息仅用于恢复分区损坏的我有密码的数据。如果没有密码,这将无法帮助您恢复任何数据。

最后,非常感谢罗伯特让我走上正轨!谢谢!


因此,根据评论中的建议,我做过最终在 Linux 兔子洞里找到了答案。如果其他人也遇到这种情况,以下是我恢复数据的方法(如果有方法可以优化此过程,请随时在评论中提出)。

1.克隆数据!

如果您没有适当的写保护设备或工具,您可能会在恢复数据之前损坏数据。为了确保我不会这样做,我只处理克隆(.img、.iso、.vhd 和 .vhdx)。这样,即使我弄乱了某些东西,也不会损坏源数据。

我发现唯一需要的文件是使用 Disk2VHD(SysInternals 包的一部分)从驱动器创建的 .vhdx 文件。因此,您要做的第一件事就是创建问题驱动器的 .vhdx 克隆。对于这些示例,我将其称为 Lexar.vhdx。

现在,您需要确保创建另一个足够大的 HDD(.vhd 或 .vhdx),以容纳驱动器上的所有数据。您还必须确保网络设置正确,以便机器能够获取所需的工具。为此,我将这个文件命名为 Lexar_Dump.vhdx。注意:不要使其大小与原始“lexar.vhdx”文件的大小相同,否则以后会出现问题。我创建的转储 .vhdx 文件是一个真正的 128GB 文件,这是我的 Lexar USB 的标称大小。这将足够大,可以容纳它可以容纳的所有内容,并且它将确保 2 个主 .vhdx 文件的大小不同。

2.使用Linux

正如罗伯特在评论中提到的那样,Linux 确实更容易提供修复分区表和解密信息的灵活性——而无需为一次性使用的东西支付巨额资金。

对我来说,我下载了一个发行版鲁本图使用(除了它非常轻量,因此下载速度快并且易于运行之外没有其他特殊原因)。

我没有将其放在 USB 或 LiveCD 上,而是直接使用 .iso 作为 Hyper-V VM 的启动媒体。

无论如何,将 VM 启动到 lubuntu“livecd”(您下载的 ISO),并将 Lexar.vhdx 和 Lexar_Dump.vhdx 驱动器作为 HDD 连接。

注:您必须确保安全启动已不是启用否则虚拟机将无法从 .ISO 启动

3.下载所需工具。

我进行了更新,然后不得不使用另外 3 个工具:

  • 解除锁定
  • 测试磁盘
  • 分区(选修的)

这很简单,只需打开一个终端并使用以下命令:

sudo apt-get update
sudo apt-get install -y dislocker
sudo apt-get install -y testdisk
sudo apt-get install -y gparted *(again, this is optional)*

GParted 是可选的,因为说实话,如果你熟悉终端,你根本不需要它。它实际上只是检查并确保分区已正确加载,并查看你需要将 Dislocker 指向的分区名称。

4.修复分区表

现在,就我而言,第一步是修复分区。即使我想修复,我也无法对“未分配”卷执行任何操作。因此我使用了 TestDisk 来完成此操作。

使用 TestDisk(记录由您决定),您要做的第一件事就是选择磁盘。这将是您已安装的损坏的 BitLocker 映像(在我的示例中为 Lexar.vhdx)。由于这是在 Hyper-V 中运行的,因此大多数内容都会标记为“Msft 虚拟磁盘”。您可以通过大小来区分哪个是哪个。我的原始 Lexar.vhdx 文件显示为“/dev/sdb - 128 GB / 119 GiB”,而安装的 Lexar_Dump.vhdx 为“/dev/sdc - 137 GB / 128 GiB”。因此,您将选择原始文件(在我的情况下为 /dev/sdb)并按 Enter 继续。

现在,您将选择分区表类型。 在我的例子中,它是 EFI GPT。 (我说在我的例子中,因为我不确定 BitLocker 是否总是GPT,但很可能是。)选择分区表类型后,选择“分析”,您应该会看到一些结果。选择它,然后按回车键,然后按“w”将修复的分区表写入驱动器。

从这里开始,如果您之前查看过 gparted,您会注意到文件系统已从“未分配”更改为“bitlocker”。如果是这样,那么您就走对了路!否则,这可能无法解决您的问题。现在分区再次存在,我们几乎可以开始解密了!

5. 创建转储位置

因此,现在,您需要创建并安装数据将要移动的区域。

我认为您将需要 3 个目录。1 个用于加密挂载,1 个用于解密挂载,1 个用于 dumpt 挂载。所以我只做了以下事情:

sudo mkdir -p /media/dump
sudo mkdir -p /media/bitlocker
sudo mkdir -p /media/bitlockermount

既然这些都存在了,您就可以开始关键部分了。

6.解密数据

这就是 Dislocker 发挥作用的地方。现在分区已经存在,您将使用以下方法之一来解密 bitlocker 分区(在我的情况下是 /dev/sdb1)。

sudo dislocker /dev/sdb1 -u<user-password> -- /media/bitlocker
**OR**
sudo dislocker /dev/sdb1 -p<recoery-password> -- /media/bitlocker

注意:“-u”或者“-p”开关和相应的密码。这不是打字错误。

如果成功,这会将所有解密的数据转储到 /media/bitlocker 目录中的特殊文件中。

7. 安装驱动器

这是简单地复制/粘贴数据之前的最后一件事(我意识到可能有更好、更强大的数据迁移方法,所以不要从字面上理解)。

为了使驱动器可访问,您必须安装它们。我这样做了:

sudo mount -t auto /dev/sdc1 /media/dump
sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockermount 

对我来说,这正确地导致现在列出了 3 个设备:“dump”、“bitlocker”和“bitlockermount”。从这里将无法读取“bitlocker”设备。您将得到类似以下内容的信息:/media/bitlocker 错误

但是,您将能够访问“bitlockermount”设备,它现在包含所有未加密的数据!:)

8.移动数据

因此,如何移动数据取决于您自己。我刚刚选择了:

sudo rsync -avx --progress /media/bitlockermount/ /media/dump/

我根本不是 Linux 专家,所以你必须决定什么是最适合你的方式。

注意:根据实际数据量,这可能需要相当长的时间。

9. 总结一下 Linux

一旦所有内容都被复制完毕,我们只需要确保文件上没有任何安全性,以免我们在返回 Windows 后无法访问它们。

因此,为了做到这一点,我们将在整个转储目录上运行它。

cd /media
sudo chmod -R a+rwX dump/

这确实会暴露每个文件,因此如果之前有任何 ACL,现在它们应该会被删除。当您将其移回 Windows 时,请让它们可供您访问,但也要任何人谁都有可能获得这些数据——所以此时要小心谨慎。

一旦完成此过程,只需关闭虚拟机即可。

10. 在 Window 中挂载数据

最后,您将在 Windows 中将 Lexar_Dumpt.vhdx 文件作为卷安装。只需打开磁盘管理控制台,然后选择操作 -> 附加 VHD 并浏览到相应的 .vhdx 文件。如果您使用原生 Windows 格式格式化了 Lexar_Dump.vhdx 驱动器,那么您应该可以立即访问,但是,如果像我一样,您使用了 Ext4 格式(face-palm),那么您需要其他东西来访问它,因为磁盘管理器只会为您提供删除卷的选项!不要这样做,否则我们刚刚完成的大部分工作将会被破坏!


编辑

我发现使用 Linux Reader 在 Windows 上挂载 Ext4 FS 也需要付费,所以我选择使用Ext2Fsd。这是免费选项,但根据开发人员的说法,它还需要更多磁盘空间,所以我不能说这是每个人的最佳选择。最好的办法是确保为转储 .vhdx 分区选择 Windows 支持的文件系统(如 NTFS 或 FAT32)。

之后,我安装了驱动器,并选择使用免费文件同步以确保数据在新的转储驱动器上匹配,并且我之前能够恢复部分数据,现在确保我有 2 份完整的未加密数据副本(很快将再次加密。


我刚刚决定使用Linux 阅读器因为它是免费的,所以可以从 DiskInternals 购买,并且不会产生通过添加系统驱动程序来增强 Windows 支持基础而带来的其他风险。


仅供参考,以下是我在弄清楚如何执行此操作时找到的一些页面:

相关内容