停在那儿

Question 1

停在那儿

从现在起您所做的任何事情都会降低数据成功恢复的机会。

联系专业的数据恢复公司，尽可能详细地描述发生了什么，然后让他们完成工作。这将非常昂贵，而且不能保证成功。常规卷上的数据恢复成本很高。加密使事情变得更加困难，您可能无法恢复任何东西。

开始备份。备份比数据恢复便宜得多，如果操作正确，在发生此类事故时，恢复的可能性应该为 100%。

Answer

停在那儿

从现在起您所做的任何事情都会降低数据成功恢复的机会。

联系专业的数据恢复公司，尽可能详细地描述发生了什么，然后让他们完成工作。这将非常昂贵，而且不能保证成功。常规卷上的数据恢复成本很高。加密使事情变得更加困难，您可能无法恢复任何东西。

开始备份。备份比数据恢复便宜得多，如果操作正确，在发生此类事故时，恢复的可能性应该为 100%。

Question 2

“干扰电线”并不是一个准确的描述。如果你的女儿切断了电源、接口电缆或两者，情况就会大不相同。

免责声明：我没有使用 Bitlocker 的实际经验！

解决方案超出了您和我的能力范围。您需要专业的帮助，但无法保证成功。

一些基础知识：您拥有的密钥不是解密数据的密钥。您的密钥可以访问一种可以存储在不同位置的真实密钥。

首先要找出 Bitlocker 进入恢复模式的原因。您的“线路干扰”可能是触发因素，如下所示： https://specopssoft.com/blog/what-causes-bitlocker-recovery-mode/

在这种情况下，如果您的真实密钥尚未被覆盖，触发器可能会被重置。如果失败，您需要恢复密钥。

我发现，您写入 H: 分区的文本文件恢复密钥仍有很小的几率可以被读出。包含恢复密钥的文本文件非常短。它完全适合“MFT 条目”的内容。它不需要称为“簇”的额外存储。如果您的文件恰好位于 MFT 中已解密的部分，专家应该能够将其读出。

此外，需要搜索的文件具有固定的短长度。您甚至可以通过加密任何其他卷、将恢复密钥保存为文件并查找长度来确定该长度。与图片、电子书和视频的较大长度相比，此文件很可能具有独特的短长度。这是自动搜索的附加信息。

如果您没有将恢复密钥文件写入其他分区，请仔细检查！

另一件需要考虑的事情：您是否加密了一个空的 H: 分区并首先放入恢复密钥文件，或者您是否加密了一个已经填满的分区？

这表明了您的恢复密钥文件可能位于 MFT 中的哪个位置。

2020.9.13 23:33 MESZ 附录：第三方软件识别 Bitlocker 恢复密钥为错误的能力并不一定依赖于读取卷信息的能力。

证明： https://docs.microsoft.com/en-us/windows/win32/secprov/protectkeywithnumericalpassword-win32-encryptablevolume

[...数字密码必须包含 48 位数字。这些数字可以分为 8 组，每组 6 位数字，每组的最后一位数字表示该组的校验和值。每组 6 位数字必须能被 11 整除，并且必须小于 720896。假设一组六位数字标记为 x1、x2、x3、x4、x5 和 x6，则 x6 位数字的校验和计算为 –x1+x2–x3+x4–x5 mod 11...]

2020.9.13 23:27 MESZ 附录：

Sheryl，使用 Veracrypt 并放弃 Bitlocker！您可以提取 Veracrypt 头文件并将其存储在任何地方，因为拥有该文件不足以解密。光盘上的文件格式在 PDF 手册中有详细记录。

我从您的经历中学到的是：永远不要解密驱动器或卷。将其内容提取到另一个驱动器！现在我甚至无法说出我心爱的 Truecrypt 在您的案例中会如何反应。

Answer

“干扰电线”并不是一个准确的描述。如果你的女儿切断了电源、接口电缆或两者，情况就会大不相同。

免责声明：我没有使用 Bitlocker 的实际经验！

解决方案超出了您和我的能力范围。您需要专业的帮助，但无法保证成功。

一些基础知识：您拥有的密钥不是解密数据的密钥。您的密钥可以访问一种可以存储在不同位置的真实密钥。

首先要找出 Bitlocker 进入恢复模式的原因。您的“线路干扰”可能是触发因素，如下所示： https://specopssoft.com/blog/what-causes-bitlocker-recovery-mode/

在这种情况下，如果您的真实密钥尚未被覆盖，触发器可能会被重置。如果失败，您需要恢复密钥。

我发现，您写入 H: 分区的文本文件恢复密钥仍有很小的几率可以被读出。包含恢复密钥的文本文件非常短。它完全适合“MFT 条目”的内容。它不需要称为“簇”的额外存储。如果您的文件恰好位于 MFT 中已解密的部分，专家应该能够将其读出。

此外，需要搜索的文件具有固定的短长度。您甚至可以通过加密任何其他卷、将恢复密钥保存为文件并查找长度来确定该长度。与图片、电子书和视频的较大长度相比，此文件很可能具有独特的短长度。这是自动搜索的附加信息。

如果您没有将恢复密钥文件写入其他分区，请仔细检查！

另一件需要考虑的事情：您是否加密了一个空的 H: 分区并首先放入恢复密钥文件，或者您是否加密了一个已经填满的分区？

这表明了您的恢复密钥文件可能位于 MFT 中的哪个位置。

2020.9.13 23:33 MESZ 附录：第三方软件识别 Bitlocker 恢复密钥为错误的能力并不一定依赖于读取卷信息的能力。

证明： https://docs.microsoft.com/en-us/windows/win32/secprov/protectkeywithnumericalpassword-win32-encryptablevolume

[...数字密码必须包含 48 位数字。这些数字可以分为 8 组，每组 6 位数字，每组的最后一位数字表示该组的校验和值。每组 6 位数字必须能被 11 整除，并且必须小于 720896。假设一组六位数字标记为 x1、x2、x3、x4、x5 和 x6，则 x6 位数字的校验和计算为 –x1+x2–x3+x4–x5 mod 11...]

2020.9.13 23:27 MESZ 附录：

Sheryl，使用 Veracrypt 并放弃 Bitlocker！您可以提取 Veracrypt 头文件并将其存储在任何地方，因为拥有该文件不足以解密。光盘上的文件格式在 PDF 手册中有详细记录。

我从您的经历中学到的是：永远不要解密驱动器或卷。将其内容提取到另一个驱动器！现在我甚至无法说出我心爱的 Truecrypt 在您的案例中会如何反应。

Question 3

停止您正在做什么并物理断开驱动器。并且前不管你做什么，都要对驱动器进行“1:1 备份”到另一个驱动器（克隆）或映像文件。俗话说“没有备份就没有怜悯”，不幸的是，你现在正在经历这样的事情。

不幸的是，我没有“真正的”解决方案，只有一些见解/建议：

对于这种问题，很可能没有标准的恢复方法（尤其是没有自动恢复方法）。为了解决这个问题，可能需要分析确切地发生了什么，解密进展如何等等，以及“线路干扰”可能引发的其他问题。为此，有必要了解 Bitlocker 解密过程的工作原理（不是“解密”本身，而是在此过程中对卷所做的更改、首先解密哪些数据、解密后的数据如何存储等）。此外，还需要一些有关数据恢复的常识，否则可能会让事情变得更糟（如果您在开始恢复原始媒体之前没有备份，这可能是致命的）。

我会推荐你

首先阅读并获取一些有关数据恢复和 Bitlocker 的基本知识（不幸的是这将很耗时）
或者获得专业的数据恢复服务（不幸的是，这会耗费金钱并且通常没有任何保证）。

希望我错了，有人比我更了解 Bitlocker，并且知道标准方法。

PS. 请注意，如果 Bitlocker 的元数据损坏，则可能无法解密数据（来源）。

PPS。我还建议获取更大的“软件”分区/驱动器。4.25% 的可用磁盘空间有点低。

Answer

停止您正在做什么并物理断开驱动器。并且前不管你做什么，都要对驱动器进行“1:1 备份”到另一个驱动器（克隆）或映像文件。俗话说“没有备份就没有怜悯”，不幸的是，你现在正在经历这样的事情。

不幸的是，我没有“真正的”解决方案，只有一些见解/建议：

对于这种问题，很可能没有标准的恢复方法（尤其是没有自动恢复方法）。为了解决这个问题，可能需要分析确切地发生了什么，解密进展如何等等，以及“线路干扰”可能引发的其他问题。为此，有必要了解 Bitlocker 解密过程的工作原理（不是“解密”本身，而是在此过程中对卷所做的更改、首先解密哪些数据、解密后的数据如何存储等）。此外，还需要一些有关数据恢复的常识，否则可能会让事情变得更糟（如果您在开始恢复原始媒体之前没有备份，这可能是致命的）。

我会推荐你

首先阅读并获取一些有关数据恢复和 Bitlocker 的基本知识（不幸的是这将很耗时）
或者获得专业的数据恢复服务（不幸的是，这会耗费金钱并且通常没有任何保证）。

希望我错了，有人比我更了解 Bitlocker，并且知道标准方法。

PS. 请注意，如果 Bitlocker 的元数据损坏，则可能无法解密数据（来源）。

PPS。我还建议获取更大的“软件”分区/驱动器。4.25% 的可用磁盘空间有点低。

停在那儿

答案1

停在那儿

答案2

答案3

相关内容