我有点麻烦了。我的主硬盘使用 Windows 10 Bitlocker 加密,而外部驱动器上包含恢复密钥的文本文件却使用 Windows 10 EFS 加密!我不知道我应该为 Bitlocker 还是 EFS 寻找解决方案。
背景
我的主硬盘使用 Bitlocker 加密(内置于 Windows 10 专业版),并且设置为插入特定 U 盘即可启动计算机。大约一周前,它突然拒绝启动,就好像没有插入 U 盘一样。
我只需将包含文档的文件夹拖放到外部 USB 硬盘上即可进行备份。这些文件夹包含带有 Bitlocker 恢复密钥的 .TXT 文件。
我的恢复计划是将我的一个备份外部硬盘插入另一台计算机,以读取包含恢复密钥的 .TXT 文件,据我所知,该密钥大约是 25 位数字。
问题
显然,在某个时候,我无意中将 EFS(加密文件系统)应用于包含文档的文件夹,并且 EFS 也应用于我的备份外部硬盘。我说无意中,是因为我不记得这样做过,但我想在某个时候,我的小脑袋里看到了一个带有选项的复选框,我心想,“真是个好主意!”干得好,安全先生!
在另一台电脑上,我可以插入外部驱动器,浏览文件夹,但当我尝试打开文件时,它显示“拒绝访问”
现在我陷入了两难境地。如果不先访问另一个驱动器,我就无法访问任何一个驱动器。EFS 与 Bitlocker。还有希望恢复我的文档吗?
可能有用的额外信息
以下是一些额外的信息,可能会或可能不会有帮助:
如果有必要,我有足够的能力从 Live CD 运行 Kali Linux 并运行一些基本的漏洞,这仅仅是我参加的为期一周的渗透测试课程的结果。但我绝对不是一个经验丰富的黑客。
应该有我的 Bitlocker 解密密钥的 USB 驱动器似乎没有故障。我可以从另一台机器向其中添加和删除文件。我有 BEK 文件,但我不知道如何从中提取恢复密钥。用记事本打开它只会得到乱码。
我插入新的 USB 集线器(NewEgg 的“ORICO MH4PU 铝制 4 端口 USB 3.0 夹式集线器”)后,Bitlocker 解密立即失败。集线器似乎各方面都运行良好,所以我怀疑这与问题有关,但谁知道呢?是的,我尝试过移除集线器并重新启动,但没有帮助。
我尝试将我的 BEK 文件复制到不同的 USB 拇指驱动器,但结果并没有改变:机器仍然表现得好像没有插入解密密钥一样。(没有启动)。
我的 USB 拇指驱动器至少有 10 年的历史了,但只定期使用了大约 2 年,闲置了大约 5 年,然后在过去大约 3 年里成为我的解密密钥。我知道闪存的寿命有限,但它的寿命相当短。它是一根普通的 4MB 棒。
我已经调查过 NTFS 文件权限系统是否参与其中。在另一台计算机上,我已成功取得该文件的“所有权”,并为自己分配了完全控制权限,没有任何错误消息。我非常确定 EFS 是罪魁祸首,但愿意了解其他原因。
我没有 Microsoft 帐户,Windows 10 计算机仅设置了本地帐户。我有用户名和密码。
所有 Microsoft 遥测早已被关闭。
我尝试将带有解密密钥的拇指驱动器插入不同的 USB 端口,包括主板背面的 USB 端口。
这是一台自制的电脑,大约有 11 年的历史了。多年来,它曾出现过几次硬件故障,但我能够成功排除故障并根据需要更换零件。目前它没有出现任何硬件故障的迹象。事实上,我的“其他机器”之一只是同一台电脑(我现在正在使用的)中的另一个硬盘。
针对答案的具体建议
任何一个问题的可行答案都会让我高兴不已:
如何从 BEK 文件中提取 Bitlocker 恢复密钥似乎完好无损?
我认为 Bitlocker 是相当牢不可破的,但是有没有办法可以攻击 EFS,例如 Metasploit 中的某些东西?
谢谢大家的帮助!
答案1
我的恢复计划是将我的一个备份外部硬盘插入另一台计算机,以读取包含恢复密钥的 .TXT 文件,据我所知,该密钥大约是 25 位数字。
[...] 应该有我的 Bitlocker 解密密钥的 USB 驱动器似乎没有故障。我可以从另一台机器向其中添加和删除文件。我有 BEK 文件,但我不知道如何从中提取恢复密钥。用记事本打开它只会得到乱码。
启动密钥采用二进制格式,因此出现“乱码”很正常 - 就像您尝试使用记事本读取 MP3 或 GIF 一样。BitLocker 恢复密钥有两种不同的格式:存储在文件中的数字“恢复密码” .txt
(附带一些解释性内容)和存储在文件中的二进制“启动密钥” .bek
。可以同时拥有这两种格式,但您不能将其中一种转换为另一种。
如何从看似完整的 BEK 文件中提取 Bitlocker 恢复密钥?
后者的 .BEK 格式首先不是文本,所以实际上没有什么可提取的——文件是钥匙。
您可以使用类似dislocker-bek
或的工具bek_file.py
显示其详细信息,包括原始 AES 密钥数据——这至少会告诉你文件是否损坏。但没有必要将其转换为数字密钥,因为 Windows 知道它不是一个数字键(磁盘的元数据如此说)。
我认为 Bitlocker 是相当牢不可破的,但是有没有办法可以攻击 EFS,例如 Metasploit 中的某些东西?
仅当您有权访问存储 EFS 密钥的用户配置文件时才可以,但您无权访问。
EFS 恢复工具只是从中找到正确的文件C:\Users\...\Credentials
(密钥使用您的操作系统密码保护),但没有任何漏洞可以神奇地从任何地方产生密钥。
现在我陷入了两难境地。如果不先访问另一个驱动器,我就无法访问任何一个驱动器。EFS 与 Bitlocker。还有希望恢复我的文档吗?
有两种可能:要么是 Windows 引导加载程序无法访问 USB 设备(这是有可能的,因为它无法访问操作系统中的常用驱动程序)——要么是您的密钥文件用于错误的磁盘,因此毫无用处。找出原因的一种方法是绕过 Windows 引导加载程序并使用其他 BitLocker 工具。
在 Linux 中,使用lsblk
查找您的 Windows 分区,然后运行dislocker
或bdemount
(大部分等效)以使用前面提到的 BEK 文件访问其内容:
dislocker --bekfile Key.BEK /dev/sda2 /mnt
bdemount -s Key.BEK /dev/sda2 /mnt
从那里,您可以将/mnt/dislocker-file
其视为/mnt/bde1
包含 NTFS 文件系统的常规块设备:您可以使用 ntfs-3g 挂载它并提取其他文件,或者您可以将整个 ntfsclone 到另一个空磁盘(根本不使用 BitLocker 加密)。
答案2
冠状病毒肆虐的这几个月真是太疯狂了。这台电脑在一个破旧的 IDE 80GB 硬盘上安装了 WIN10,可以“使用”最基本的任务,所以直到这个周末我才有机会处理它。我终于取得了进展!
成功!
我冒了很大的风险,最终成功了。我买了一个新的便宜的 U 盘,将 BEK 文件复制到里面,然后它解密了我的 C: 盘并启动了!但是等等——我不确定成功的启动是否可以重复。结果证明不是。所以幸好我马上就做了这件事:
启动成功后需立即采取行动
好主意——立即打印了系统驱动器的 48 位恢复密钥。是的,实际上是打印在纸上的。这非常重要,因为事实证明,我的幸运启动是不可重复的。到目前为止,这个该死的东西根本无法通过拇指驱动器解密。为什么不行——原因仍然未知。为什么那一次成功了——原因仍然未知。打印此恢复密钥使我能够随意在原始损坏的安装和我糟糕的临时故障排除安装之间来回切换。
尝试永久修复
现在我面临的挑战是改变备份方式,以确保它们确实可以恢复,因为我现在意识到无论我做什么,在某种程度上都是错误的。我使用 14 年前的 IDE 80GB 硬盘上临时安装的 WIN10 作为“测试”计算机。我必须想办法确保我拖放到外部驱动器上的文件在另一台计算机上完全可读。以下是有效和无效的方法:
尝试在出现问题的文件夹的属性->安全->高级选项卡中为所有“用户”添加完全控制权限。我确保选中了表示将此权限继承给所有子文件夹和项目的复选框。这根本不起作用。当我启动到故障排除 WIN10 安装时,它仍然拒绝访问我的所有文件。因此显然文件权限与问题无关。
从我的主要/旧的/损坏的 Windows 中,我右键单击数据驱动器分区,然后转到常规->高级以关闭 EFS 加密。但它已被关闭!“加密内容...”框未选中。这没有帮助。所以显然驱动器未加密。
在我的主/旧/损坏的 Windows 中,我将其中一个外部备份驱动器重新格式化为 exFAT 而不是 NTFS,然后将有问题的文档目录复制到该驱动器。这根本不起作用。当我启动到我的临时 WIN10 安装(又名“新”计算机)时,它仍然拒绝访问我的所有文件。因此显然 NTFS 文件系统不是问题的一部分。
什么确实有效
- 以下是实际有效的方法:从我的主要/旧的/损坏的 Windows 中,我选择了根目录中的所有文件夹,右键单击,然后转到“属性”->“高级”,然后我才能看到其中一些文件夹已加密。我在复选框中有一个方块,表示复选框状态为“是”和“否”的混合。我在这里将其关闭,并应用于其中的所有子文件夹和项目。然后当然,在那之后我需要将我新近可访问的文档文件夹重新复制到我的外部备份硬盘上。
最后的教训
请务必测试您的备份策略,方法是尝试将备份恢复到另一台计算机。并确保您确实可以打开和操作文件。浏览文件夹并不能保证万无一失!
我的故事还没有结束,但这个问题已经结束了
显然我的硬件或 Windows 出了点问题。为什么我可以手动输入 48 位密钥启动,但无法使用 USB 驱动器启动?这可能是某种主板故障,或 Bitlocker 损坏。
在我确信我的备份文档可以从新电脑上访问后,我将不得不从轨道上删除这个东西并重新开始。没问题——我可以做一些很好的故障排除,而不用冒冷汗。