Odzyskiwanie danych z uszkodzonego zaszyfrowanego dysku BitLocker

Dzisiaj opiszemy procedurę odzyskiwania danych z dysku zaszyfrowanego za pomocą Bitlockera. Rozważ prosty skrypt i skrypt z uszkodzonym dyskiem Bitlocker. Ten problem może wystąpić z powodu uszkodzenia systemu plików na zaszyfrowanym dysku (na przykład uszkodzenia obszaru dysku twardego, na którym BitLocker przechowuje ważne informacje spowodowane nieoczekiwanym zamknięciem), niemożności uruchomienia systemu operacyjnego lub konsoli odzyskiwania BitLocker oraz podobnych błędów, które uniemożliwiają normalne otwarcie szyfrowanego pliku. prowadzić. Opisane problemy mogą wystąpić zarówno z dyskiem systemowym, jak i wymiennym dyskiem zewnętrznym lub USB.

Do odzyskiwania danych wykorzystamy narzędzie Naprawa-bde (BitLocker Naprawa Narzędzie). To narzędzie wiersza polecenia, które pojawiło się w systemie Windows 7/2008 R2 i jest używane do uzyskiwania dostępu do zaszyfrowanych danych na uszkodzonym dysku i ich przywracania, jest szyfrowane przez funkcję BitLocker.

Treść

  • Wymagania dotyczące odzyskiwania danych z woluminu BitLocker
  • Odblokuj zaszyfrowany dysk BitLocker w systemie Windows
  • Jak odblokować zaszyfrowany dysk Bitlocker, jeśli system Windows nie uruchamia się
  • Odzyskiwanie hasła funkcją BitLocker
  • Deszyfrowanie woluminu Bitlocker za pomocą klucza odzyskiwania
  • Jak otworzyć zaszyfrowany dysk BitLocker w systemie Linux

Wymagania dotyczące odzyskiwania danych z woluminu BitLocker

Aby odzyskać dane z dysku zaszyfrowanego przez BitLocker, musisz mieć co najmniej jeden z następujących elementów ochrony BitLocker:

  • Hasło BitLocker (to samo, które wpisujesz w GUI systemu Windows podczas odblokowywania zaszyfrowanego dysku);
  • Klucz odzyskiwania funkcji BitLocker;
  • Klucz startowy (.bek) - klucz na dysku flash USB, który pozwala automatycznie odszyfrować partycję rozruchową bez wymagania hasła od użytkownika.

Klucz odzyskiwania funkcji BitLocker (klucz odzyskiwania funkcji BitLocker) to unikalna sekwencja 48 znaków. Klucz odzyskiwania jest generowany podczas tworzenia woluminu Bitlocker, można go wydrukować (i przechowywać w bezpiecznym miejscu, na przykład w sejfie), zapisać jako plik tekstowy w lokalnym (nie jest to zalecane, ponieważ jeśli dysk jest uszkodzony, nie można odszyfrować danych) lub dysk zewnętrzny lub zapisz na koncie Microsoft.

Klucz odzyskiwania Bitlocker można znaleźć na koncie w witrynie Microsoft pod adresem https://onedrive.live.com/recoverykey.

Jeśli nie masz dostępu do klucza odzyskiwania, nie będziesz już mieć dostępu do swoich danych. W końcu funkcja BitLocker została zaprojektowana w celu ochrony plików przed nieznajomymi..

Kilka niuansów dotyczących odzyskiwania danych z dysku BitLocker. Dane muszą zostać przywrócone na osobnym dysku, którego rozmiar nie może być mniejszy niż rozmiar uszkodzonego dysku. Podczas odzyskiwania cała zawartość tego dysku będzie usunięte i zastąpione przez odszyfrowane dane z woluminu BitLocker.
W naszym przykładzie dysk F: (rozmiar 2 GB) to dysk flash USB, którego zawartość jest szyfrowana za pomocą funkcji BitLocker. Ten dysk flash z jakiegoś powodu się nie otwiera. Do odzyskiwania danych zainstalowaliśmy dodatkowy dysk zewnętrzny Data (G :) o pojemności (10 GB).

Odblokuj zaszyfrowany dysk BitLocker w systemie Windows

Najprostsza sytuacja polega na tym, że musisz odblokować zaszyfrowany dysk BitLocker w samym systemie Windows. Prawdopodobnie masz zewnętrzny dysk lub dysk flash USB chroniony przez BitLocker, który się nie otwiera, lub chcesz otworzyć zaszyfrowany dysk na innym komputerze.

Podłącz dysk do komputera i przejdź do Panelu sterowania -> System i zabezpieczenia -> Szyfrowanie dysku Bitlocker (dostępne w wersji Professional i wyższych wersji Windows).

Na liście dysków wybierz zaszyfrowany dysk BitLocker i kliknij Odblokuj dysk. 

W zależności od zastosowanej metody określ hasło, klucz odzyskiwania kodu PIN i podłącz kartę inteligentną. Jeśli nie znasz hasła, ale klucz odzyskiwania został zapisany, wybierz Dodatkowe opcje -> Wprowadź klucz odzyskiwania.

Jeśli masz kilka kluczy odzyskiwania, możesz określić żądany klucz odzyskiwania, korzystając z identyfikatora wyświetlanego w oknie. Jeśli podasz poprawny klucz, dysk zostanie odblokowany i będziesz mógł uzyskać dostęp do danych na nim.

Jak odblokować zaszyfrowany dysk Bitlocker, jeśli system Windows nie uruchamia się

Rozważ sytuację, w której dysk systemowy jest szyfrowany za pomocą Bitlockera i z jakiegoś powodu system Windows przestał się ładować (niebieski ekran śmierci, zawiesza się podczas uruchamiania, nieprawidłowe aktualizacje itp.)

Spróbuj uruchomić środowisko odzyskiwania systemu Windows (uruchomi się ono automatycznie, jeśli system Windows nie uruchomi się 3 razy z rzędu). Jeśli WinRE nie działa, możesz uruchomić komputer z dysku instalacyjnego systemu Windows 10, dysku odzyskiwania MsDaRT lub innego dysku rozruchowego. Aby uruchomić wiersz poleceń, wybierz Rozwiązywanie problemów -> Zaawansowane opcje -> Command Monituj, lub naciśnij Shift + F10.

W oknie poleceń sprawdź status wszystkich dysków komputera (w ten sposób znajdziemy zaszyfrowany dysk Bitlocker):

manage-bde -status

W wyniku polecenia jeden (lub kilka) dysków powinien zawierać następujący tekst: „Bitlocker Jedź Szyfrowanie: Tom D.„ Więc masz zaszyfrowany dysk D.

Odblokuj go, uruchamiając polecenie:

manage-bde -unlock D: -pw

Polecenie poprosi o podanie hasła funkcji BitLocker:

Wpisz hasło, aby odblokować ten wolumin:

Jeśli hasło jest prawidłowe, pojawi się komunikat:

Hasło pomyślnie odblokowało wolumin D:.

Twój dysk jest odszyfrowany i możesz przywrócić system operacyjny.

Jeśli chcesz całkowicie wyłączyć ochronę dysków funkcją BitLocker, wykonaj:

manage-bde -protectors -disable D:

Uruchom ponownie komputer. Teraz dysk rozruchowy nie jest szyfrowany.

Odzyskiwanie hasła funkcją BitLocker

Przede wszystkim spróbuj odzyskać dane przy użyciu tej techniki (będzie działać w systemie Windows 10, 8.1 / Server 2012 / R2 / 2016 i nowszych):

  1. Uruchom wiersz poleceń z uprawnieniami administratora:
  2. Uruchom polecenie:
    repair-bde F: G: -pw -Force
    , gdzie F: - Dysk z danymi Bitlocker, G: - dysk, na którym należy wyodrębnić odszyfrowane dane;
  3. Podczas wykonywania polecenia musisz podać hasło Bitlocker (to samo, które zostało wprowadzone przez użytkownika w GUI systemu Windows, aby uzyskać dostęp do zaszyfrowanego woluminu).

Deszyfrowanie woluminu Bitlocker za pomocą klucza odzyskiwania

Aby odszyfrować dane na uszkodzonym woluminie, którego zawartość jest szyfrowana przez Bitlocker, potrzebujemy klucza odzyskiwania lub klucza rozruchu systemu (jeśli partycja systemowa jest zaszyfrowana).

Rozpocznij odzyskiwanie danych za pomocą klucza odzyskiwania:

naprawa-bde F: G: -rp 288409-515086-417208-646712-162954-590172-127512-667568

Jeśli Bitlocker jest używany do szyfrowania partycji systemowej w systemie Windows, a na dysku flash USB używany jest specjalny klucz startowy do uruchomienia systemu, zaszyfrowany wolumin można odszyfrować w następujący sposób:

naprawa-bde F: G: -rk I: \ 3F558473-943D-4330-8449-62C36BA53345.BEK -Force

gdzie plik 3F558473-943D-4330-8449-62C36BA53345.BEK - Klucz uruchamiania szyfrowania dysków funkcją BitLocker na dysku flash USB Ja: \ (domyślnie ten plik jest ukryty).

Po wykonaniu procedury odzyskiwania i odszyfrowywania danych przed otwarciem dysku, na którym wyodrębniono zawartość woluminu Bitlocker, należy go sprawdzić. Aby to zrobić, uruchom następujące polecenie i poczekaj na jego zakończenie:
Chkdsk G: / f
Uwaga. Jeśli odzyskanie danych z zaszyfrowanego dysku nie było możliwe przy użyciu wskazanych metod, warto spróbować utworzyć kopię uszkodzonego dysku sektor po sektorze za pomocą narzędzia Linux DDRescue (lub innego podobnego narzędzia do odzyskiwania danych z uszkodzonych partycji). Następnie spróbuj odzyskać dane z otrzymanej kopii zgodnie z opisanym scenariuszem.

Jak otworzyć zaszyfrowany dysk BitLocker w systemie Linux

Możesz również otworzyć zaszyfrowany dysk BitLocker z poziomu Linuxa. Aby to zrobić, potrzebujesz narzędzia Odblokowujący i klucz odzyskiwania funkcji BitLocker .

Niektóre dystrybucje (takie jak Ubuntu) mają już narzędzie do odblokowywania. Jeśli narzędzie nie jest zainstalowane, pobierz i skompiluj je ręcznie.
tar -xvjf dislocker.tar.gz
Plik INSTALL.TXT wskazuje, że musisz zainstalować pakiet libfuse-dev:
sudo apt-get install libfuse-dev
Teraz spakuj.
cd src / make make install
Przejdź do katalogu mnt i utwórz dwa katalogi (dla sekcji zaszyfrowanej i odszyfrowanej):
cd / mntmkdir Encr-partmkdir Decr-part
Zlokalizuj zaszyfrowaną partycję (polecenie fdisk -l) i odszyfruj ją, używając klucza odzyskiwania w drugim katalogu.

dislocker -r -V / dev / sdb1 -p twoja_bitlocker_recovery_key / mnt / Encr-part

W tym przykładzie używamy narzędzia DisLocker w trybie FUSE (system plików w przestrzeni użytkownika, który pozwala użytkownikom tworzyć własne systemy plików bez uprawnień. W trybie FUSE tylko blok, do którego system ma dostęp, jest odszyfrowywany (w locie). Zwiększa to czas dostępu do danych ale ten tryb jest znacznie bezpieczniejszy.

Zamontuj sekcję:
mount -o loop Driveq / dislocker-file / mnt / Decr-part
Powinieneś teraz zobaczyć wszystkie pliki na zaszyfrowanej partycji..