前言
近期有几个朋友笔记本硬盘坏了,拿去恢复数据,硬件层面的问题解决后发现硬盘有BitLocker加密,而他全然不知道此事,微软账号里也没有备份,所以数据也就无法找回了。这也是我写这篇文章的原因之一。
BitLocker 是一项 Windows 安全功能,可为整个卷提供加密,解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁。但是,在2020年后的新笔记本电脑一般已开启Bitlocker功能(即硬盘中数据已被加密),若计算机硬件有改变或损坏,重新进入已加密的系统会要求输入“恢复密钥”,如下图。若密钥丢失,则加密分区中的数据全部丢失!
如果的确担心数据安全或有重要数据,请及时备份密钥(或使用其他加密软件,如:VeraCrypt),或者按照公司要求保存在指定驱动器里!
原理
若对原理不感兴趣可以 往下翻 或 单击右侧目录栏跳转至“解密方法” 以查看解密步骤!
图解:
- BIOS 启动并初始化TPM。并measure firmware部分敏感内容和启动分区以及bootloader,将结果放入PCR组。
2.如果 PCR 值与期望值相匹配,则 TPM 将使用存储根密钥 (SRK) 对卷主密钥 (VMK) 进行解密。
从卷中读取加密 FVEK,并使用解密 VMK 对其进行解密。
访问磁盘扇区时,使用 FVEK 进行解密。
为应用程序和过程提供解密数据。
其中SRK存储在TPM芯片中,它是整个过程的信任根。BitLocker通过检测PCR组,对主启动记录 (MBR) 代码、NTFS 启动扇区、NTFS 启动块、启动管理器和其他重要组件进行检查,如果被更改,则第2步将出错,要求输入recovery PIN值。
详细原理请跳转至Microsoft官方文档:Microsoft Learn: BitLocker overview
触发条件
1,更换主板(100%触发,把硬盘拆下做成移动硬盘也在此列)
2,修改高级启动设置(高概率)
3,同一台电脑上存在两个以上的系统盘或引导(高概率,PE应该也在此列)
4,更换CPU/内存/显卡/网卡/加装硬盘(低概率)
5,更新BIOS(低概率)
6,Win10更新时崩溃卡死(低概率)
解密方法 (Windows10/11通用)
以下内容涉及图片较多,建议打开Github加速器查看。
辨别当前磁盘状态
Case 1 (无需解密)
打开“此电脑”,若磁盘图标同下,则磁盘未被加密,无需进行任何操作!!
Case 2 (需要解密)
磁盘上有带锁图标且存在感叹号,该磁盘已被加密,但还缺失连接账户的步骤!普通用户建议直接解密。
Case 3 (需要解密)
解密步骤(请务必判断自身磁盘状态后进行操作)
同时按Windows徽标键+R 调出 运行,并输入control,回车
将查看方式改为“小图标”
单击“Bitlocker驱动器加密”
选择要解密的驱动器,单击“关闭BitLocker,并授予权限
注意:解密过程会消耗一段时间,根据磁盘性能和磁盘内已有文件大小相关,解密时可正常使用电脑,期间可以关机,但是异常断电会导致数据丢失!!!
若需输入恢复密钥,可在微软账户里寻找到密钥,微软官网
将密钥ID与设备上的密钥ID匹配后,输入正确的恢复密钥即可解密。
参考资料
[1] Microsoft Learn/Windows/Security TPM fundamentals
[2] Microsoft Learn/Windows/Security BitLocker countermeasures