遇到个问题:
硬盘分为2个分区,C盘为tpm+bitlocker(存有恢复秘钥),D盘为bitlocker autounlock(丢失恢复秘钥),正常情况下系统启动后D盘自动解锁,但某一天C盘系统损坏,无法启动,但用恢复秘钥可以解锁C盘。
要求:解锁D盘。
分析:
自动解锁密钥数据存放于注册表FveAutoUnlock中,用用户或者系统的证书使用函数CryptProtectData() DPAPI加密的。
首先导出FveAutoUnlock项的数据到reg文件中。
使用NirSoft的DataProtectionDecryptor利用解密后的系统盘解密reg数据。
然后manage-bde -protectors -get d: -SaveExternalKey "c:\temp",导出一个bek的模板。
然后把最后32位替换掉。
最后尝试解密 manage-bde -unlock d: -recoverykey c:\temp\keyT.bek
参考资料:
https://superuser.com/questions/561533/windows-bitlocker-and-automatic-unlock-password-storage-safety
https://social.technet.microsoft.com/Forums/Lync/en-US/d691044a-1888-47dd-bec5-105066ebe41a/bitlocker-autounlock-restore-data-without-recovery-key?forum=win10itprosecurity
https://www.howto-connect.com/dataprotectiondecryptor/
发表评论