Внешний HDD WD My Passport (JMS538S) c аппаратным шифрованием
15.11.2019
Восстановление данных с флешки Transcend JetFlash 780
10.11.2019
Показать все

Введите ключ восстановления BitLocker

Н асколько нам важно, чтобы информация которую мы используем, была под грифом конфиденциально? Должен ли быть доступ к нашим личным данным у наших близких (интересные исследования от «Лаборатория Касперского»)? Чем мы готовы пожертвовать для того, чтобы спать спокойно, если ваш девайс остался в общественном транспорте или куда еще хуже: попал в руки злоумышленника!
Раньше люди ограничивались словами персональный компьютер, смартфон (не берем в счет гиков или правильный корпоративный сегмент). Одно лишь слово персональный, ограждал нас от неприятностей, а незатейливый пароль, давал уверенность в неприступности вашей крепости. И, по-видимому, большинство из нас до сих пор ограничивается паролями в стиле: мой др, имя котика и т.д. Но с ростом числа случаев утечки информации от взломов или прямого доступа к носителю памяти. Производители постепенно стали уходить от широко распахнутых дверей (возможностей модернизации устройства), в сторону моноустройств, как внешне, так и внутри. Самый явный пример это Apple T2.

В чем была проблема, со слов клиента и какие файлы требовалось достать?

Пролог
До окончательного «окирпичивания», пару раз выскакивал синий экран со смайликом. И заключительным гвоздем в крышку стало обновление системы.
Файловая система
NTFS
Задача
Восстановить все docx и xlsx файлы из папки документы
Примечание
Режим автоматического восстановления не доступен. Требуется 48-ми значный пароль от BitLocker. Есть доступ к личному кабинету от Microsoft.

Где искать 48-ми значный ключ восстановления BitLocker

Ш паргалка для тех, у кого возникли трудности с BitLocker после обновления системы. И есть возможность (накопитель исправен), подключить диск к другому компьютеру с операционной системой Windows 10 Pro, Linux или MAC OS. Или воспользоваться загрузочной флешкой. Данный метод поможет только при условии, что у вас была заведена учетная запись Майкрософт на данном устройстве, а не локальная учетная запись.
В нашем же кейсе, SSD SDAPNUW-512G-1002 (Sandisk, который сейчас WD) имел проблемы по логике, что помешало восстановить работоспособность ОС.

К люч восстановления от зашифрованного диска BitLocker'ом, вы сможете найти в личном кабинете вашей учетной записи.

  1. Пройдя авторизацию, заходим в раздел «Устройства».
  2. Выбираем нужное нам устройство и нажимаем «Показать подробности».
  3. Внизу страницы, ищите заголовок «Защита данных BitLocker» и нажимаем «Управление ключом восстановления».
  4. Записываем или сохраняем наш «ключ восстановления».

#4 Ключи восстановления BitLocker


Перенос данных с зашифрованного диска

П еред тем, как приступать к каким-либо действиям над зашифрованным накопителем. Следует сделать посекторную копию диска целиком или попытаться примонтировать его и извлечь данные. Данную процедуру возможно произвести несколькими способами, которые также будут представлены ниже. Мы, как обычно, ограничимся программно-аппаратным комплексом PC3000 от компании ACELab.
  1. С помощью загрузочной флешки (Kali Linux Live USB или Windows To Go).
  2. Через другой компьютер с предустановленной системой Windows 10 Pro, Linux или MAC OS (нужно установить утилиту Disloсker) через USB-переходник.
  3. Программно-аппаратным комплексом PC3000 (мы будем использовать этот вариант).

#1 Открытый раздел BitLocker в Kali Linux

#2 Открытый раздел BitLocker в Windows 10 Pro

#3 Открытый образ раздела в PC3000



Установка Dislocker в Kali Linux

  1. Проверяем наличия свежих обновлений:
  2. apt update && apt upgrade -y
  3. Затем устанавливаем Dislocker через терминал (скорее всего он уже есть):
  4. apt install dislocker
  5. Создаем 2 деректории для расшифрованного раздела и для монтирования:
  6. mkdir /mnt/bitlocker_copy
    mkdir /mnt/bitlocker_open
  7. Находим шифрованный раздел с помощью утилиты disks или fdisk через терминал:
  8. fdisk -l
    В нашем примере, раздел зашифрованный BitLocker (/dev/sdb3) выглядел так:
    Disk /dev/sdb: 1.84 TiB, 2000398931968 bytes, 3907029164 sectors
    Disk model: External USB 3.0
    Units: sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes
    Disklabel type: gpt
    Disk identifier: 891XXXXX-XXXX-XXXX-8695-XXXXXXXXXXXX
    
    Device         Start        End   Sectors   Size Type
    /dev/sdb1       2048     534527    532480   260M EFI System
    /dev/sdb2     534528     567295     32768    16M Microsoft reserved
    /dev/sdb3     567296  998574734 998007439 475.9G Microsoft basic data
    /dev/sdb4  998576128 1000214527   1638400   800M Windows recovery environment
  9. Пытаемся расшифровать раздел с помощью ключа восстановления Bitlocker
  10. dislocker -v -V /dev/sdb3 -r -pPASSWORD -- /mnt/bitlocker_copy
    *вместо /dev/sdb3 - ваш диск или раздел, PASSWORD - ваш ключ восстановления!
  11. Монтируем только что расшифрованный раздел в систему:
  12. mount /mnt/bitlocker_copy/dislocker-file /mnt/bitlocker_open -o loop
  13. После сохранения необходимых файлов, закрываем разделы через терминал:
  14. umount /mnt/bitlocker_open
    umount /mnt/bitlocker_copy/dislocker-file
    umount /mnt/bitlocker_copy
    

Установка Dislocker в macOS Catalina

  1. Устанавливаем Xcode через App Store и запускаем программу. Принимаем лицензионное соглашение и закрываем.
  2. Затем устанавливаем Xcode Command Line Tools через терминал:
  3. xcode-select --install
  4. Устанавливаем Homebrew через терминал:
  5. /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
  6. Проверяем обновление через терминал:
  7. brew update
  8. Устанавливаем Fuse for macOS через терминал:
  9. brew install Caskroom/cask/osxfuse
  10. Перезагружаем macOS.
  11. Устанавливаем Dislocker:
  12. brew install dislocker
  13. Подключаем шифрованный диск через переходник к Mac.
  14. Смотрим IDENTIFIER нужного раздела с помощью diskutil через терминал:
  15. diskutil list
    В нашем примере, раздел зашифрованный BitLocker (disk3s3) выглядел так:
    /dev/disk3 (external, physical):
    
       #:  TYPE NAME              SIZE       IDENTIFIER
    
       0:  GUID_partition_scheme    *2.0 TB     disk3
    
       1:  EFI SYSTEM               272.6 MB   disk3s1
    
       2:  Microsoft Reserved       16.8 MB    disk3s2
    
       3:  Microsoft Basic Data     511.0 GB   disk3s3
    
       4:  Windows Recovery         838.9 MB   disk3s4
  16. Пытаемся расшифровать раздел с помощью ключа восстановления Bitlocker
  17. sudo dislocker -v -V /dev/disk3s3 -r -pPASSWORD /tmp/bitlocker_copy
    *вместо disk3s3 - ваш диск или раздел, PASSWORD - ваш ключ восстановления!
  18. Монтируем расшифрованный раздел в проводник:
  19. sudo hdiutil attach /tmp/dislocker_copy/dislocker-file -imagekey diskimage-class=CRawDiskImage -mountpoint /Volumes/bitlocker_open
  20. Сохранив необходимые файлы, отмонтируем расшифрованный раздел:
  21. sudo hdiutil detach /Volumes/bitlocker_open
    sudo hdiutil detach /tmp/dislocker_copy/dislocker-file
    sudo hdiutil detach /tmp/bitlocker_copy

GitHub вам в помощь:

После выхода новой версии Windows 10 (версия 1903 - 21 май 2019 г.) у многих пользователей начались проблемы с открытием шифрованных BitLocker'ом разделов. Частично функционал был исправлен! Для его применения вам придется самостоятельно произвести сборку Dislocker по инструкции с GitHub.
На новых версия Linux и macOS пакет libpolarssl-dev отсутствует. Поэтому внимательно читаем:
apt install gcc cmake make libfuse-dev libmbedtls-dev ruby-dev