由Bitlocker问题引发的思考
一、什么是Bitlocker问题
- Bitlocker概述
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。
以下将通过图示来说明中招Bitlocker后的整个过程。
(1)蓝屏无法进入windows开机界面,如下图所示。
(2)当使用WinPE进入操作系统,发现D盘和H盘两个磁盘分区均上了锁,如下图所示。
注意:以上提到了通过WinPE进入操作系统这一操作,这里有两个知识点:
(1)如何制作WinPE启动U盘?
这里有几个链接可供参考:
(a)制作纯天然无污染的微软官方win10Pe(超详细)
(c)pe制作u盘启动盘步骤 pe制作u盘启动盘教程【win7】
后续,作者同样会更新这个帖子,在这个部分补充自己的操作过程… …【敬请期待】
(2)如何通过WinPE程序进入预装载的操作系统?
将WinPE启动U盘插入电脑后,连续点击F12,选择从U盘启动,即可进入预装载的操作系统。
点击“H盘”后,会得到以下界面,告知你 “输入48位恢复密钥以解锁此驱动器”(这里给出的密钥ID:211B2797只有8位,显然只是6组密钥数字的第一组)
考虑到上述情况,作者显然 无法访问D盘和H盘两个磁盘分区里面的数据,
那么电脑上N年沉淀下来的数据、代码、文件、资料等不是全完了?
作者陷入了极度焦虑之中。
二、如何解决Bitlocker问题
转而,沉下心在网上查找相关资料,这里附上两个微软发布的链接供读者参考:
另一方面,作者思考搞清楚出现Bitlocker问题的原因往往是解决问题的关键之所在。
在叙述真正的原因之前,请允许作者先谈谈从一些网络渠道,当地线下电脑城,甚至是官方运营商那里得到的说法(尤其是具有误导性的指导),真是一把辛酸泪。
- 领悟到_I:只有拿到BitLocker密钥才能进行解锁
来着相关渠道的说法:
(1)网络上一些号称能通过数据恢复解决Bitlocker问题的公司(包括联系电话)。
网上成都一家“有名”的做数据恢复的公司,答:Bitlocker的问题我们之前处理过,有经验,通过数据恢复就能做解密处理。但现在正在放年假,年后再打电话联系;再次请教了网络上的各种“专家”后,1个多小时后再打电话过去,想沟通一下对方的解决问题思考,对方答:你可以再找其他公司来做(之前的有信心、有经验等已荡然无存)
现在看来:这是一家很随意的公司,说话更不负责。网上的经验广告等噱头成分太高。
网上一个数据恢复公司的“大专家”告诉我:由于你是厂家预装的操作系统,并不会像在 Windows 中查找 BitLocker 恢复密钥中描述的那样,有一个微软账户和Bitlocker密钥相互绑定,而你机器磁盘的Bitlocker解密密钥是被植入在了电脑的一块芯片中,只有找Dell官方才有可能拿到该密钥。
现在看来:这是一种更加可笑的说法。
(2)老家地区线下电脑城。
答:我们可以通过WinPE进入操作系统,但是如果没有密钥是无法打开Bitlocker锁的。
现在看来:这是很有道理的回复。
(3)成都地区线下电脑城。
答:可以通过WinPE进入操作系统,但是如果没有密钥是不可能打开Bitlocker锁的。
现在看来:这是很有道理的回复。
(4)Dell官方客服(Tel:4008868610)、Dell灵越系列(Tel:4008868619)
由于我的电脑为Dell品牌,灵越系列,于是通过Dell官方客服联系到了Dell灵越系列的工作人员。官方客服答:如果你自己也不知道操作系统关联的是哪个微软账户,他们是无法通过机器唯一的EX编码帮忙查询(或做邮件反馈)Bitlocker锁的密钥。我进一步说明:由于我是厂家预装的操作系统,根本不可能知晓在操作系统安装时到底关联(即注册过)哪个微软账户。官方客服在确认相关主要技术人员后,对方答:建议你只能重装电脑。
现在看来:所谓官方的回复,水之又水,对于解决问题毫无帮助。如果按照官方客服的建议重装电脑,那么不仅C盘(操作系统盘)中的数据全没了。由于受到Bitlocker锁的制约,那么其他磁盘也是打不开的(已卸载并做测试,证明了上述结论),如重新格式化,数据将全部丢失。重装电脑即意味着我电脑上N年沉淀下来的数据、代码、文件、资料等就全部清空了。这对于我来说,将是毁灭性打击。
- 领悟到_II:找到微软账号才能获得Bitlocker密钥
经过多番碰撞,我领悟到:
(1)Bitlocker必然关联到一个微软账户,对应一个解锁密钥。
(2)对于厂家预装的操作系统,只有一种可能,即用户在该操作系统上登录了微软账户并得到了授权,如此微软才能根据该账户跟踪到用户的主机,进而对该主机的磁盘与操作系统执行Bitlocker锁定操作。
(3)产生上述问题的最主要原因可能在于:作者的电脑上打开太多东西,并接连数天在持续运行,并未关机。当操作系统因负荷过重而异常关机时被微软后台的监控程序“盯上”了,进而执行了Bitlocker远程锁定程序。
于是,作者便开启了“疯狂”寻找微软账号,寻觅Bitlocker解锁密钥的过程:
值得进一步说明的是,在这一过程中,作者曾向淘宝xx商家(淘宝上提供BitLocker服务的链接)支付了一定咨询费用,是花钱买知识呀。
作者回忆到:曾多次在淘宝上购买office激活码(即激活微软账户,对应上述(2)点),因此,以聊天记录、相关截图等为依据,作者终于找到了两个微软账号。从第一个账号进去,点击“设备”,可以看到一台活动的设备记录,然而并未找到Bitlocker密钥信息,如下图所示。
结论:微软显然不是通过这个账户来锁定当前电脑的磁盘与操作系统的。
从第二个账号进去,点击“设备”,可以看到一台活动的设备记录,如下图所示。
点击进去,终于守得云开见月明,看到了“查看Bitlocker密钥”这个按钮。如此,我们的解锁过程就已成功了一半。
点击进入后,便可以看到被微软Bitlocker服务锁定的磁盘与操作系统。依次点击“Show recovery key”便可以看到各自对应的解锁密钥。
- 领悟到_III:使用Bitlocker密钥解锁磁盘与操作系统
我们以对H盘解锁为例,需连续执行以下命令:
manage-bde -unlock H:-rp recovery_key
这里的recovery_key即为上一节中点击对应“Show recovery key”蓝色按钮而获得密钥。
值得进一步说明的是,如何匹配加密磁盘与解锁秘钥? 主要是通过秘钥ID。再次附上本博客开始部分的一张截图,如下图所示。这里,H盘的密钥ID前8位为211B2797,不是正好对应“操作系统驱动器”这个部分么。
对于H盘,可以通过以下命令关闭bitlocker服务。
manage-bde -off H:
通过以下命令,可以查看H盘的解锁状态。
manage-bde -status H:
在经过一定时间后,再次通过上述命令可以看到:H盘当前已解锁23.2%。已加密百分比为76.8%(并随着时间的推移在不断减少)。
按照上述步骤依次作用于被Bitlocker加密的磁盘与操作系统,我们便可以对它们进行完全解密。
三、重装Windows 10操作系统
解密完成后,我们仍需要通过WinPE重装操作系统。
这里有几个链接可供参考:
(1)制作纯天然无污染的微软官方win10Pe(超详细)
以下给出一些关键截图来说明通过WinPE重装操作系统的过程。
选择操作系统的引导分区与待格式化的系统分区(这里分别对应E盘和H盘)。并在“镜像索引”处选择操作系统的镜像文件,点击“开始安装”,如下图所示。
进入操作系统应用镜像加载到磁盘的流程(格式化分区->检索操作系统->应用镜像到磁盘),如下图所示。
加载完成后,允许电脑重新启动,如下图所示。
四、萌生的思考
这里作者主要想谈谈据Bitlocker事件而产生的对国产办公软件及操作系统安全性的思考:
(1)Bitlocker锁其本质就是微软的“后门”程序,如果微软有意控制我们的电脑,我们将何去何从?
(2)如果舍弃Office集成办公软件(避免去授权微软账号),对于国产办公软件,我们有哪些选择?
这里的寥寥数语可做丰富的展开。
created in 2023.01.23,updated in 2023.01.28