我有一个关于 bitlocker 的问题。假设我在未加密的磁盘上安装了任何操作系统(例如 Windows),并且上面有机密数据。然后,有人格式化磁盘并安装 Windows,但这次使用 bitlocker 加密磁盘。然后,bitlocker 仅加密 c 分区,但 EFI 和恢复分区未加密。所以我的问题是:是否可以通过搜索 EFI 和恢复分区从原始 Windows 中恢复一些机密数据,因为正如我所说,它们没有被 bitlocker 加密,并且它们没有被完全覆盖,如图所示(100% 可用)。
答案1
有点。
我怀疑对手能否通过扫描未加密的“标准”分区获取任何机密信息。
更有可能的担忧是 -
如果选择“仅已用空间”加密,Bitlocker 最初不会覆盖整个分区,那么很可能可以恢复磁盘加密之前的一些旧数据 - 您可以使用 Recuva 或 Photorec 等简单工具获取数据。
如果磁盘有坏扇区或为 SSD(具有过度配置 - 这是标准配置),则旧数据片段将不会被加密。获取这些数据比上述情况要困难得多,而且可以恢复的数据量要小得多,但专家可以从驱动器中获取一些数据。
最佳做法是确保在写入任何敏感数据之前启用全盘加密/bitlocker - 尽管这可能在这里没有帮助。一些 SSD 内置了全盘 SSD 加密 - 如果您的磁盘恰好提供了此功能,您可以使用安全擦除来擦除磁盘(安全擦除类似于驱动器内置的自动 bit locker - 丢弃密钥,数据就会被打乱)。如果失败,您能做的最好的事情就是填满加密磁盘并擦除几次以阻止 - 但绝不能消除 - 隐藏在过度配置/坏块中的数据。
答案2
Bitlocker 有 2 个选项。
- 加密整个驱动器
- 加密包含数据的部分。
除非您有加密密码,否则您将无法解密任何加密的内容。
EFI 和恢复分区不包含您的任何数据,它们是 Windows 独有的。
因此,如果他们选择仅加密部分数据,他们就可以抓取未加密部分的数据。
使用 dban 擦除整个驱动器。