首页 > 数据恢复软件

天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移解决方案，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。

天津鸿萌科贸发展有限公司是众多国际主流数据取证及恢复软件的授权代理商：Miray(HDClone/HDShredder)、Passware、PassMark、ElcomSoft、R-Studio、Systools、GetData、Stellar、ReclaiMe、UFS 等。

解密 BitLocker 卷或镜像具有挑战性，因为 BitLocker 提供的各种加密选项需要不同的解密信息。

BitLocker 加密选项

可用于加密 BitLocker 卷的保护程序包括：

• TPM （可信平台模块芯片）
• TPM+PIN 码
• 启动密钥（在 USB 驱动器上）
• TPM+PIN + 启动密钥
• TPM+启动密钥
• 密码
• 恢复密钥（数字密码；在 USB 驱动器上）
• 恢复密码（在 USB 驱动器上）
• 活动目录域服务 （ADDS） 帐户

若要显示某个 BitLocker 卷的保护程序，在命令行提示符 （cmd） 中键入以下命令：

manage-bde -protectors -get C:
(where C: is the name of the mounted BitLocker-encrypted volume)

保护程序列表将显示如下：

根据 Microsoft 文档，下面提供了有关每种保护程序类型的详细信息：

1. TPM。BitLocker 使用计算机的 TPM 来保护加密密钥。如果指定此保护程序，则只要加密驱动器连接到加载 TPM 的主板，并且系统可以完整完好启动，用户就可以访问该加密驱动器。通常，基于 TPM 的保护程序只能与操作系统卷相关联。
2. TPM+PIN 码。BitLocker 使用 TPM 和用户提供的个人标识号 （PIN） 的组合。PIN 是 4 到 20 位数字，或者如果您允许增强型 PIN，则为 4 到 20 位字母、符号、空格或数字。
3. 启动密钥。BitLocker 从包含外部密钥的 USB 存储设备中获取一个带有 .BEK 扩展名的二进制文件。
4. TPM+PIN+启动密钥。BitLocker 使用 TPM、用户提供的 PIN 和包含外部密钥的 USB 存储设备的输入。
5. TPM+启动密钥。BitLocker 使用 TPM 和包含外部密钥的 USB 存储设备的输入。
6. 密码。使用用户提供的密码访问卷。
7. 恢复密钥。恢复密钥也称为数字密码，作为指定文件存储在 USB 存储设备中。它是一个由破折号分隔的 48 位数字的序列。
8. 活动目录域服务帐户。BitLocker 使用域身份验证来解锁数据卷。操作系统卷不能使用这种类型的密钥保护程序。

这些保护程序中的任何一个都会加密 BitLocker 卷主密钥 （VMK） 以生成完整卷加密密钥 （FVEK），然后使用该密钥加密卷。

使用内存镜像即时解密 BitLocker 卷

如果挂载了 BitLocker 卷，则 VMK 将驻留在 RAM 中。

当 Windows 显示标准 Windows 用户登录屏幕时（如上所述），这意味着系统 BitLocker 卷已挂载，并且 VMK 驻留在内存中。使用热启动方法创建实时内存镜像后，可以使用专门的数据恢复软件提取 VMK 并解密卷。

打开配置了默认 BitLocker 设置的计算机时，Windows 将从 TPM 芯片读取加密密钥，装入系统驱动器并继续启动过程。在这种情况下，VMK 也驻留在内存中。

使用特定的数据恢复软件可以从内存镜像（或休眠文件）中提取 VMK，并解密 BitLocker 卷。

总结

总而言之，如果内存镜像包含 VMK，则无论用于加密卷的保护程序类型如何，都会对卷进行解密。通过提取此 VMK，还可以恢复保护程序（恢复密钥和启动密钥）。

但是，如果内存镜像不包含 VMK（在实时内存采集期间未挂载卷、休眠文件已被覆盖等），则只能使用密码保护程序解密卷，即恢复原始密码（使用暴力破解或字典攻击）。
密码恢复过程非常耗时，并且取决于密码复杂性、有关密码的任何知识以及可用于密码恢复的硬件资源，例如 GPU 和分布式计算的可用性。因此，恢复的原始密码可用于挂载 BitLocker 卷。

对于某些卷，密码可能不在使用的保护程序中，并且该卷可能受到其他保护程序（例如启动密钥或 TPM + PIN）的保护。在这种情况下，如果没有挂载卷时获取的内存镜像或包含 VMK 的休眠文件，则无法解密卷。