1

Я сталкиваюсь с ситуацией, когда мне хотелось бы расшифровать "поврежденный" диск, защищенный Bitlocker (раздел Windows 10), используя известный 48-значный ключ восстановления. Коррумпированный означает, что я выполнил застрявшую процедуру восстановления (внутреннее восстановление образа системы Windows), оставив мне, как кажется, непригодный заголовок Bitlocker, так что инструменты Microsoft repair-bde или manage-bde -status don ' распознать диск как защищенный битлокером.*

Кто-нибудь знает, как расшифровать зашифрованный необработанный образ диска с помощью ключа восстановления, чтобы получить другой (но расшифрованный) необработанный образ диска (с помощью которого я мог бы выполнить дальнейшие шаги по восстановлению данных)?

* Поскольку это не имеет непосредственного отношения к вопросу (но тема может возникнуть), я собираюсь описать мою ситуацию для тех, кто интересуется более подробно здесь: Блокнот без TPM. Два фиксированных диска, один с Windows 10, защищенный Bitlocker, и дополнительный диск (с данными), защищенный Bitlocker. Второй был настроен на автоматическую разблокировку при загрузке ОС. Образ системы (внутренняя функция резервного копирования и восстановления Windows) существует на втором диске, который я пытался восстановить на двух основных дисках. Этот процесс восстановления потерпел крах, оставив меня с непригодной системой. Три очевидные ошибки (да, я усвоил урок ...): 1. У меня нет другой резервной копии на независимом (внешнем) диске, 2. Я не создавал сырой образ неповрежденного системного диска до использования хрупкого восстановления Windows, 3. У меня есть только пользовательский пароль для этого второго диска, а не ключ восстановления (48-значный или .bek файл). К сожалению, пароль сам по себе никуда не ведет без операционной системы, которую я только что убил, соответственно переключение на автоматическую разблокировку, похоже, меняет "связку ключей", поэтому в настоящий момент доступ к резервной копии первого диска невозможен.

Два последних подхода, которые я имел в виду, - это посмотреть, что я могу спасти с основного диска, и посмотреть, могу ли я извлечь сохраненный ключ автоматической разблокировки (подробнее об этом здесь), чтобы разблокировать дополнительный диск с помощью неповрежденный образ системы на нем.

|источник

1 ответ1

0

Обновление об этом: кажется, что процесс восстановления Microsoft сначала стирает диск, а затем восстанавливает незашифрованный образ (по крайней мере, до того места, где он вышел из строя), вероятно, перед его повторным шифрованием. Поэтому теперь я могу восстановить соответствующие пользовательские данные на основном диске ОС с помощью обычных инструментов восстановления.

Как я уже писал ранее, на компьютере установлен второй зашифрованный диск Bitlocker, для которого была установлена автоматическая разблокировка до сбоя процесса восстановления Windows.

После восстановления основного диска я смог получить ключ данных, хранящийся в реестре по адресу

HKLM\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\

который начинается с 70 00 00 00 09 00 00 00 14 aa 47 e0 89 4e 0e 4c ...

Я читал, что это зашифрованный ключ DPAPI, который должен быть дешифруемым с DataProtectionDecryptor, но он не начинается со стандартной последовательности DPAPI 01 00 00 00 D0 8C 9D .... Так что на данный момент я не знаю, какую информацию (ключи) использовать и откуда они берутся для преобразования этого ключа в действительный ключ восстановления Bitlocker?

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .