解密困境：EFS 与 Windows Bitlocker

Question 1

我的恢复计划是将我的一个备份外部硬盘插入另一台计算机，以读取包含恢复密钥的 .TXT 文件，据我所知，该密钥大约是 25 位数字。

[...] 应该有我的 Bitlocker 解密密钥的 USB 驱动器似乎没有故障。我可以从另一台机器向其中添加和删除文件。我有 BEK 文件，但我不知道如何从中提取恢复密钥。用记事本打开它只会得到乱码。

启动密钥采用二进制格式，因此出现“乱码”很正常 - 就像您尝试使用记事本读取 MP3 或 GIF 一样。BitLocker 恢复密钥有两种不同的格式：存储在文件中的数字“恢复密码” .txt（附带一些解释性内容）和存储在文件中的二进制“启动密钥” .bek。可以同时拥有这两种格式，但您不能将其中一种转换为另一种。

如何从看似完整的 BEK 文件中提取 Bitlocker 恢复密钥？

后者的 .BEK 格式首先不是文本，所以实际上没有什么可提取的——文件是钥匙。

您可以使用类似dislocker-bek或的工具bek_file.py显示其详细信息，包括原始 AES 密钥数据——这至少会告诉你文件是否损坏。但没有必要将其转换为数字密钥，因为 Windows 知道它不是一个数字键（磁盘的元数据如此说）。

我认为 Bitlocker 是相当牢不可破的，但是有没有办法可以攻击 EFS，例如 Metasploit 中的某些东西？

仅当您有权访问存储 EFS 密钥的用户配置文件时才可以，但您无权访问。

EFS 恢复工具只是从中找到正确的文件C:\Users\...\Credentials（密钥使用您的操作系统密码保护），但没有任何漏洞可以神奇地从任何地方产生密钥。

现在我陷入了两难境地。如果不先访问另一个驱动器，我就无法访问任何一个驱动器。EFS 与 Bitlocker。还有希望恢复我的文档吗？

有两种可能：要么是 Windows 引导加载程序无法访问 USB 设备（这是有可能的，因为它无法访问操作系统中的常用驱动程序）——要么是您的密钥文件用于错误的磁盘，因此毫无用处。找出原因的一种方法是绕过 Windows 引导加载程序并使用其他 BitLocker 工具。

在 Linux 中，使用lsblk查找您的 Windows 分区，然后运行dislocker或bdemount（大部分等效）以使用前面提到的 BEK 文件访问其内容：

dislocker --bekfile Key.BEK /dev/sda2 /mnt

bdemount -s Key.BEK /dev/sda2 /mnt

从那里，您可以将/mnt/dislocker-file其视为/mnt/bde1包含 NTFS 文件系统的常规块设备：您可以使用 ntfs-3g 挂载它并提取其他文件，或者您可以将整个 ntfsclone 到另一个空磁盘（根本不使用 BitLocker 加密）。

Answer

我的恢复计划是将我的一个备份外部硬盘插入另一台计算机，以读取包含恢复密钥的 .TXT 文件，据我所知，该密钥大约是 25 位数字。

[...] 应该有我的 Bitlocker 解密密钥的 USB 驱动器似乎没有故障。我可以从另一台机器向其中添加和删除文件。我有 BEK 文件，但我不知道如何从中提取恢复密钥。用记事本打开它只会得到乱码。

启动密钥采用二进制格式，因此出现“乱码”很正常 - 就像您尝试使用记事本读取 MP3 或 GIF 一样。BitLocker 恢复密钥有两种不同的格式：存储在文件中的数字“恢复密码” .txt（附带一些解释性内容）和存储在文件中的二进制“启动密钥” .bek。可以同时拥有这两种格式，但您不能将其中一种转换为另一种。

如何从看似完整的 BEK 文件中提取 Bitlocker 恢复密钥？

后者的 .BEK 格式首先不是文本，所以实际上没有什么可提取的——文件是钥匙。

您可以使用类似dislocker-bek或的工具bek_file.py显示其详细信息，包括原始 AES 密钥数据——这至少会告诉你文件是否损坏。但没有必要将其转换为数字密钥，因为 Windows 知道它不是一个数字键（磁盘的元数据如此说）。

我认为 Bitlocker 是相当牢不可破的，但是有没有办法可以攻击 EFS，例如 Metasploit 中的某些东西？

仅当您有权访问存储 EFS 密钥的用户配置文件时才可以，但您无权访问。

EFS 恢复工具只是从中找到正确的文件C:\Users\...\Credentials（密钥使用您的操作系统密码保护），但没有任何漏洞可以神奇地从任何地方产生密钥。

现在我陷入了两难境地。如果不先访问另一个驱动器，我就无法访问任何一个驱动器。EFS 与 Bitlocker。还有希望恢复我的文档吗？

有两种可能：要么是 Windows 引导加载程序无法访问 USB 设备（这是有可能的，因为它无法访问操作系统中的常用驱动程序）——要么是您的密钥文件用于错误的磁盘，因此毫无用处。找出原因的一种方法是绕过 Windows 引导加载程序并使用其他 BitLocker 工具。

在 Linux 中，使用lsblk查找您的 Windows 分区，然后运行dislocker或bdemount（大部分等效）以使用前面提到的 BEK 文件访问其内容：

dislocker --bekfile Key.BEK /dev/sda2 /mnt

bdemount -s Key.BEK /dev/sda2 /mnt

从那里，您可以将/mnt/dislocker-file其视为/mnt/bde1包含 NTFS 文件系统的常规块设备：您可以使用 ntfs-3g 挂载它并提取其他文件，或者您可以将整个 ntfsclone 到另一个空磁盘（根本不使用 BitLocker 加密）。

Question 2

冠状病毒肆虐的这几个月真是太疯狂了。这台电脑在一个破旧的 IDE 80GB 硬盘上安装了 WIN10，可以“使用”最基本的任务，所以直到这个周末我才有机会处理它。我终于取得了进展！

成功！

我冒了很大的风险，最终成功了。我买了一个新的便宜的 U 盘，将 BEK 文件复制到里面，然后它解密了我的 C: 盘并启动了！但是等等——我不确定成功的启动是否可以重复。结果证明不是。所以幸好我马上就做了这件事：

启动成功后需立即采取行动

好主意——立即打印了系统驱动器的 48 位恢复密钥。是的，实际上是打印在纸上的。这非常重要，因为事实证明，我的幸运启动是不可重复的。到目前为止，这个该死的东西根本无法通过拇指驱动器解密。为什么不行——原因仍然未知。为什么那一次成功了——原因仍然未知。打印此恢复密钥使我能够随意在原始损坏的安装和我糟糕的临时故障排除安装之间来回切换。

尝试永久修复

现在我面临的挑战是改变备份方式，以确保它们确实可以恢复，因为我现在意识到无论我做什么，在某种程度上都是错误的。我使用 14 年前的 IDE 80GB 硬盘上临时安装的 WIN10 作为“测试”计算机。我必须想办法确保我拖放到外部驱动器上的文件在另一台计算机上完全可读。以下是有效和无效的方法：

尝试在出现问题的文件夹的属性->安全->高级选项卡中为所有“用户”添加完全控制权限。我确保选中了表示将此权限继承给所有子文件夹和项目的复选框。这根本不起作用。当我启动到故障排除 WIN10 安装时，它仍然拒绝访问我的所有文件。因此显然文件权限与问题无关。
从我的主要/旧的/损坏的 Windows 中，我右键单击数据驱动器分区，然后转到常规->高级以关闭 EFS 加密。但它已被关闭！“加密内容...”框未选中。这没有帮助。所以显然驱动器未加密。
在我的主/旧/损坏的 Windows 中，我将其中一个外部备份驱动器重新格式化为 exFAT 而不是 NTFS，然后将有问题的文档目录复制到该驱动器。这根本不起作用。当我启动到我的临时 WIN10 安装（又名“新”计算机）时，它仍然拒绝访问我的所有文件。因此显然 NTFS 文件系统不是问题的一部分。

什么确实有效

以下是实际有效的方法：从我的主要/旧的/损坏的 Windows 中，我选择了根目录中的所有文件夹，右键单击，然后转到“属性”->“高级”，然后我才能看到其中一些文件夹已加密。我在复选框中有一个方块，表示复选框状态为“是”和“否”的混合。我在这里将其关闭，并应用于其中的所有子文件夹和项目。然后当然，在那之后我需要将我新近可访问的文档文件夹重新复制到我的外部备份硬盘上。

最后的教训

请务必测试您的备份策略，方法是尝试将备份恢复到另一台计算机。并确保您确实可以打开和操作文件。浏览文件夹并不能保证万无一失！

我的故事还没有结束，但这个问题已经结束了

显然我的硬件或 Windows 出了点问题。为什么我可以手动输入 48 位密钥启动，但无法使用 USB 驱动器启动？这可能是某种主板故障，或 Bitlocker 损坏。

在我确信我的备份文档可以从新电脑上访问后，我将不得不从轨道上删除这个东西并重新开始。没问题——我可以做一些很好的故障排除，而不用冒冷汗。

Answer