從 BitLocker 加密驅動器恢復文件
BitLocker 驅動器加密技術通過加密邏輯卷的內容來幫助保護本地和外部驅動器上的數據。在本文中,我們將了解從 BitLocker 加密分區提取數據的兩種方法。第一個涉及使用標準 Windows 工具解密受 BitLocker 保護的分區。第二種方式表明加密驅動器的文件系統已損壞(BitLocker 存儲元數據的驅動器區域已損壞)或 Windows 無法啟動。
內容:
- 從 BitLocker 卷恢復數據的要求
- 如何在 Windows 中解鎖 BitLocker 加密驅動器?
- 在 Windows 恢復環境中禁用系統驅動器的 BitLocker 加密
- 使用 BitLocker 修復工具 (Repair-bde) 恢復加密驅動器
- 如何在 Linux 上訪問 BitLocker 加密驅動器?
要從使用 BitLocker 加密的驅動器恢復數據,您至少需要具有 BitLocker 保護元素之一:
- BitLocker 密碼(您在 Windows GUI 中輸入的用於解鎖加密驅動器的密碼);
- BitLocker 恢復密鑰;
- 系統啟動密鑰 (.bek) – USB 閃存驅動器上的密鑰文件,允許您自動解密啟動分區,而無需用戶輸入密碼。
BitLocker 恢復密鑰是 48 個字符的唯一序列。恢復密鑰是在 Bitlocker 開始分區加密之前生成的。您可以打印恢復密鑰、將其另存為外部介質上的文本文件或將其保存到您的 Microsoft 帳戶。
您可以在 Microsoft 網站上的帳戶中找到 Bitlocker 恢復密鑰https://onedrive.live.com/recoverykey。
對於加入 Active Directory 域的計算機,管理員可以將 GPO 配置為自動將 BitLocker 恢復密鑰保存在 AD 中計算機的帳戶屬性中。
如果您沒有恢復密鑰,您將無法訪問您的數據。
如何在 Windows 中解鎖 BitLocker 加密驅動器?
解鎖 BitLocker 加密驅動器的最簡單方法是通過 Windows GUI。
將驅動器連接到計算機,然後轉至控制面板 -> 系統和安全 -> BitLocker 驅動器加密(在 Windows 專業版和企業版中提供)。選擇 BitLocker 加密的光盤並單擊解鎖驅動器。
無法在運行 Windows Home Edition 的計算機上加密或解密 BitLocker 卷。
根據安全方法,指定密碼、PIN 碼或連接智能卡來解鎖驅動器。如果您不知道密碼,可以使用恢復密鑰來解密該卷。選擇進階設定->輸入恢復密鑰。
如果您有多個恢復密鑰,您可以通過提示窗口中顯示的密鑰 ID 部分來識別您需要的恢復密鑰。如果輸入了正確的密鑰,驅動器將被解鎖,並且您將能夠訪問 BitLocker 驅動器上的文件。
您還可以使用 PowerShell 禁用特定卷的 BitLocker 保護:
Disable-BitLocker -MountPoint "C:"
等待分區解密完成。檢查驅動器是否已解密:
Get-BitlockerVolume -MountPoint "C:"
VolumeStatus: FullyDecrypted
在 Windows 恢復環境中禁用系統驅動器的 BitLocker 加密
如果您的系統驅動器由 BitLocker 加密並且 Windows 不再啟動(由於更新不正確、藍屏死機、啟動時凍結等),您可以使用 Windows 恢復環境 (Windows RE) 來解密該驅動器。
如果 Windows 連續 3 次啟動失敗,WinRE 恢復環境應自動啟動。您還可以從任何 Windows 安裝 USB 閃存驅動器、MS DaRT 恢復映像或其他 LiveCD 啟動計算機。如果您使用的是 Windows 安裝介質,請按Shift+F10在語言選擇階段(或在 WinRE 中選擇故障排除->高級選項->命令提示符)。
應出現 WinPE 命令提示符。
您需要找到 Bitlocker 加密的驅動器號。要檢查 WinPE 中所有可用驅動器的狀態,請運行:
manage-bde -status
一個(或多個)驅動器的命令結果應包含以下文本:“BitLocker 驅動器加密:卷 D”。所以你已經加密了D盤。
通過運行以下命令解鎖驅動器:
manage-bde -unlock D: -pw
該命令提示輸入 BitLocker 密碼:
Enter the password to unlock this volume:
如果密碼正確,將會出現一條消息:
The password successfully unlocked volume D:.<p/re>
如果您不知道 BitLocker 密碼,可以使用恢復密鑰來解鎖卷:
manage-bde -unlock D: -RecoveryKey J:1234567...987ABCDE4564.bek
您的驅動器已解鎖,您可以開始修復 Windows 啟動加載程序或修復其他問題。
要解鎖驅動器並完全禁用 BitLocker 驅動器保護,請運行:
manage-bde -protectors -disable D:
重新啟動計算機。該驅動器現在未加密。
使用 BitLocker 修復工具 (Repair-bde) 恢復加密驅動器
要從損壞/無法訪問的 BitLocker 卷恢復數據,您必須使用修復bde(BitLocker 修復工具)控制台工具。
嘗試使用 BitLocker 密碼解密數據並將數據提取到新驅動器。 Repair-bde 實用程序允許您將數據從損壞的捲恢復到新分區。請注意,目標分區必須大於源 BitLocker 卷,並且目標卷上的現有數據將被刪除 (!)。
- 以管理員身份打開命令提示符;
- 運行以下命令:
repair-bde D: F: -pw –Force, 在哪裡d:是包含 BitLocker 數據的磁盤,並且乙:是一個空驅動器(分區),用於將解密的數據提取到; - 指定 Bitlocker 密碼(用戶用於使用 Windows GUI 解鎖加密卷)。
Repair-bde 實用程序將嘗試從加密卷中恢復關鍵元數據並將其用於解密。
如果數據已成功解密,將出現以下消息:
Decrypting: 100 completed Finished decryption. ACTION REQUIRED: run chkdsk E: /f before viewing decrypted data
如果您不知道 BitLocker 密碼(如果系統分區已加密),則可以使用恢復密鑰或系統啟動密鑰來解密卷。
使用恢復密鑰開始從 BitLocker 分區恢復數據:
repair-bde D: E: -rp 288209-513086-417508-646412-162954-590672-167552-664563 –Force
如果使用BitLocker加密Windows系統分區,並使用USB閃存驅動器上的特殊啟動密鑰來啟動操作系統,則可以按如下方式解密該卷:
repair-bde D: E: -rk I:2F538474-923D-4330-4549-61C32BA53345.BEK –Force
其中 2F538474-923D-4330-4549-61C32BA53345.BEK 是 USB 閃存驅動器 I 上的 BitLocker 驅動器加密啟動密鑰:(默認情況下此文件處於隱藏狀態)。
解鎖卷後,您需要使用以下命令檢查目標驅動器:
Chkdsk E: /f
筆記。如果使用上述方法未能從加密驅動器中恢復數據,則應嘗試使用 DDRescue Linux 工具(或用於從損壞分區恢復數據的其他類似實用程序)逐扇區復制損壞的分區。然後嘗試按照所描述的場景從生成的副本中恢復數據。
如何在 Linux 上訪問 BitLocker 加密驅動器?
您還可以從 Linux 打開 BitLocker 加密的驅動器。為此,您將需要 DisLocker 工具和 BitLocker 恢復密碼或密鑰。
使用包管理器安裝該工具。如果您運行的是 Ubuntu/Debian,請使用以下命令:
$ sudo apt-get install dislocker
進入mnt目錄,創建兩個目錄(一為加密分區,一為解密分區):
$ cd /mnt
$ mkdir encrypted
$ mkdir decrypted
找到加密分區(fdisk -l命令)並使用 BitLocker 密碼對其進行解密:
$ sudo dislocker -V /dev/sdb1 -u -- /mnt/encrypted
如果您有恢復密鑰,請使用以下命令:
$ sudo dislocker -r -V /dev/sdb1 -p your_bitlocker_recovery_key /mnt/encrypted
DisLocker 實用程序使用用戶空間文件系統 (FUSE) 驅動程序以只讀模式訪問加密分區。
dislocker 文件將出現在目標目錄中。該文件包含您的 NTFS 數據分區。
要查看未加密分區上的所有文件,您可以掛載它:
$ sudo mount -o loop /mnt/encrypted/dislocker-file /mnt/decrypted
