从 BitLocker 加密驱动器恢复文件

BitLocker 驱动器加密技术通过加密逻辑卷的内容来帮助保护本地和外部驱动器上的数据。在本文中，我们将了解从 BitLocker 加密分区提取数据的两种方法。第一个涉及使用标准 Windows 工具解密受 BitLocker 保护的分区。第二种方式表明加密驱动器的文件系统已损坏（BitLocker 存储其元数据的驱动器区域已损坏）或 Windows 无法启动。

从 BitLocker 卷恢复数据的要求

为了从使用 BitLocker 加密的驱动器中恢复数据，您至少需要具有 BitLocker 保护元素之一：

• BitLocker 密码（您在 Windows GUI 中输入的用于解锁加密驱动器的密码）；

• BitLocker 恢复密钥；

• 系统启动密钥 (.bek) - USB 闪存驱动器上的密钥文件，允许您自动解密启动分区，而无需用户输入密码。

BitLocker 恢复密钥是 48 个字符的唯一序列。恢复密钥是在 Bitlocker 开始分区加密之前生成的。您可以打印恢复密钥、将其另存为外部介质上的文本文件或将其保存到您的 Microsoft 帐户。

您可以在 Microsoft 网站 https://onedrive.live.com/recoverykey 上的帐户中找到 Bitlocker 恢复密钥。

对于加入 Active Directory 域的计算机，管理员可以将 GPO 配置为自动将 BitLocker 恢复密钥保存在 AD 中计算机的帐户属性中。

如果您没有恢复密钥，您将无法访问您的数据。

如何在 Windows 中解锁 BitLocker 加密驱动器？

解锁 BitLocker 加密驱动器的最简单方法是通过 Windows GUI。

将驱动器连接到计算机，然后转至控制面板 -> 系统和安全 -> BitLocker 驱动器加密（在 Windows 专业版和企业版中提供）。选择 BitLocker 加密的光盘，然后单击解锁驱动器。

无法在运行 Windows Home Edition 的计算机上加密或解密 BitLocker 卷。

根据安全方法，指定密码、PIN 码或连接智能卡来解锁驱动器。如果您不知道密码，可以使用恢复密钥来解密该卷。选择高级设置 -> 输入恢复密钥。

如果您有多个恢复密钥，您可以通过提示窗口中显示的密钥 ID 部分来识别您需要的恢复密钥。如果输入了正确的密钥，驱动器将被解锁，并且您将能够访问 BitLocker 驱动器上的文件。

您还可以使用 PowerShell 禁用特定卷的 BitLocker 保护：

Disable-BitLocker -MountPoint "C:"

等待分区解密完成。检查驱动器是否已解密：

Get-BitlockerVolume -MountPoint "C:"

VolumeStatus: FullyDecrypted

在 Windows 恢复环境中禁用系统驱动器的 BitLocker 加密

如果您的系统驱动器由 BitLocker 加密并且 Windows 不再启动（由于更新不正确、蓝屏死机、启动时冻结等），您可以使用 Windows 恢复环境 (Windows RE) 来解密该驱动器。

如果 Windows 连续 3 次启动失败，WinRE 恢复环境应自动启动。您还可以从任何 Windows 安装 USB 闪存驱动器、MS DaRT 恢复映像或其他 LiveCD 启动计算机。如果您使用的是 Windows 安装介质，请按

Shift+F10

在语言选择阶段（或在 WinRE 中选择疑难解答 -> 高级选项 -> 命令提示符）。

应出现 WinPE 命令提示符。

您需要找到 Bitlocker 加密的驱动器号。要检查 WinPE 中所有可用驱动器的状态，请运行：

manage-bde -status

一个（或多个）驱动器的命令结果应包含以下文本：“BitLocker 驱动器加密：卷 D”。所以你已经加密了 D 盘。
通过运行以下命令解锁驱动器：

manage-bde -unlock D: -pw

该命令提示输入 BitLocker 密码：

Enter the password to unlock this volume:

如果密码正确，将会出现一条消息：

The password successfully unlocked volume D:.<p/re>

如果您不知道 BitLocker 密码，可以使用恢复密钥来解锁卷：

manage-bde -unlock D: -RecoveryKey J:34567...987ABCDE4564.bek

您的驱动器已解锁，您可以开始修复 Windows 启动加载程序或修复其他问题。

要解锁驱动器并完全禁用 BitLocker 驱动器保护，请运行：

manage-bde -protectors -disable D:

重启你的电脑。该驱动器现在未加密。

使用 BitLocker 修复工具 (Repair-bde) 恢复加密驱动器

要从损坏/无法访问的 BitLocker 卷恢复数据，必须使用 Repair-bde（BitLocker 修复工具）控制台工具。

尝试使用 BitLocker 密码解密数据并将数据提取到新驱动器。 Repair-bde 实用程序允许您将数据从损坏的卷恢复到新分区。请注意，目标分区必须大于源 BitLocker 卷，并且目标卷上的现有数据将被删除 (!)。

1. 以管理员身份打开命令提示符；

2. 运行以下命令：

   repair-bde D: F: -pw -Force

   ，其中 D: 是包含 BitLocker 数据的磁盘，E: 是用于将解密数据提取到的空驱动器（分区）；

3. 指定 Bitlocker 密码（用户用于使用 Windows GUI 解锁加密卷）。

Repair-bde 实用程序将尝试从加密卷中恢复关键元数据并将其用于解密。

如果数据已成功解密，将出现以下消息：

Decrypting: 100 completed
Finished decryption.
ACTION REQUIRED: run chkdsk E: /f before viewing decrypted data

如果您不知道 BitLocker 密码（如果系统分区已加密），则可以使用恢复密钥或系统启动密钥来解密卷。

使用恢复密钥开始从 BitLocker 分区恢复数据：

repair-bde D: E: -rp 288209-513086-417508-646412-162954-590672-167552-664563 -Force

如果使用BitLocker加密Windows系统分区，并使用USB闪存驱动器上的特殊启动密钥来启动操作系统，则可以按如下方式解密该卷：

repair-bde D: E: -rk I:F538474-923D-4330-4549-61C32BA53345.BEK -Force

其中 2F538474-923D-4330-4549-61C32BA53345.BEK 是 USB 闪存驱动器上的 BitLocker 驱动器加密启动密钥 I：（默认情况下此文件处于隐藏状态）。

解锁卷后，您需要使用以下命令检查目标驱动器：

Chkdsk E: /f

注意。 如果使用上述方法未能从加密驱动器中恢复数据，则应尝试使用 DDRescue Linux 工具（或用于从损坏分区恢复数据的其他类似实用程序）逐扇区复制损坏的分区。然后尝试根据所描述的场景从生成的副本中恢复数据。

如何在 Linux 上访问 BitLocker 加密驱动器？

您还可以从 Linux 打开 BitLocker 加密的驱动器。为此，您将需要 DisLocker 工具和 BitLocker 恢复密码或密钥。

使用包管理器安装该工具。如果您运行的是 Ubuntu/Debian，请使用以下命令：

$ sudo apt-get install dislocker

进入mnt目录，创建两个目录（一为加密分区，一为解密分区）：

$ cd /mnt
$ mkdir encrypted
$ mkdir decrypted

找到加密分区（

fdisk -l

命令）并使用 BitLocker 密码对其进行解密：

$ sudo dislocker -V /dev/sdb1 -u -- /mnt/encrypted

如果您有恢复密钥，请使用以下命令：

$ sudo dislocker -r -V /dev/sdb1 -p your_bitlocker_recovery_key /mnt/encrypted

DisLocker 实用程序使用用户空间文件系统 (FUSE) 驱动程序以只读模式访问加密分区。

dislocker 文件将出现在目标目录中。该文件包含您的 NTFS 数据分区。

要查看未加密分区上的所有文件，您可以挂载它：

$ sudo mount -o loop /mnt/encrypted/dislocker-file /mnt/decrypted