Re: [問題] Bitlocker 48碼金鑰

看板Windows作者DarkIllusion (心地善良肥宅)時間7小時前 (2025/04/19 15:10)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串3/3 (看更多)

# 前言因為偶而有人會透過這串文來寄信來問我關於 Bitlocker 的問題，所以我想在這裡更詳細地描述我所理解的 Bitlocker 運作方式，以及我製作 winPE 開機碟的過程。其他關於 EaseUS、Elcomsoft Forensic、PC3000 這些工具用了以後會怎麼樣的問題，我是無法回答的。你們很可能只能將問題放上來，然後不抱期待地等知道的人回答。此外我想特別感謝這串文的原發問者 doubledozen，因為他在這個看板與板友 forward66666、pda2001 等人之間的問與答，展示了解決問題的過程與結果，所以我才有信心獨自解決硬碟被 Bitlocker 鎖定的問題。 # Bitlocker 運作方式電腦主機板上有塊晶片叫做 TPM（圖一），負責啟動並維護電腦中的信任鏈。 https://imgur.com/a/BzWn3nf （圖一、TPM 的外觀。） TPM 的 ROM 裡存有一個金鑰，叫做 SRK（storage root key）。同時 TPM 可以做加解密、產生摘要（checksum）和比對摘要。所謂的摘要（checksum）指的是一個能代表某一塊資料的短字串。你可以把計算摘要，想像成是一個雜湊函數，當你將一大塊資料輸入給函數後，這個函數永遠都能計算出一個獨一無二、能代表這筆資料的短字串。若你修改了這塊資料，函數就會計算出另一種摘要。當你啟動電腦，電腦的控制權會依序從 BIOS（或 UEFI）、MBR、 bootloader 和作業系統這樣的順序傳遞。為了安全、避免控制權被攻擊者植入的惡意程式搶走，TPM 會一個接著一個以你的 BIOS （或 UEFI）設置、MBR 區塊、bootloader 區塊等資料作為參數計算出摘要，並且和既存的摘要進行比對，若比對成功才會進到下一步（見圖二）。這個計算摘要並比對的過程就是信任鏈。若摘要都比對成功，TPM 就會認定你是在可信任的環境下，並且釋出 SRK，以 SRK 解密硬碟裡的 VMK（volume master key）區塊而得到 VMK，然後解密硬碟正常開機；若摘要比對失敗，TPM 就不會釋出 SRK ，你的硬碟就會被 Bitlocker 鎖定（見圖三）。你可以參照參考資料[1]了解做哪些動作也會使硬碟被 Bitlocker 鎖定。 https://imgur.com/a/TyzqOl9 （圖二之一、TPM 計算摘要示意） https://imgur.com/a/pkQjxyI （圖二之二、TPM 計算摘要示意，這張圖更詳細地描述信任鏈） https://imgur.com/a/Wzts7Cv （圖三、Bitlocker 解密硬碟示意） # Win PE 之所以有效的原因除了正常開機流程以外，似乎也有其他方式被 TPM 認為在可信任的環境下，比方說使用 Win PE 開機，然後再由 Win PE 轉交控制權給原本的作業系統。我個人推測，我之所以更新 Windows 後重新開機，硬碟就被 Bitlocker 鎖定，理由是因為 Windows 那個磁區的 bootloader 因為更新而被改變了，所以 TPM 算出了與以往不同的摘要。但若使用 WinPE 開機的話，就可以省去 bootloader 這部分摘要的計算和比對。如果這個推測合理，若你不小心修改的東西是 BIOS（或UEFI）、MBR 或是 TPM 本身，而非 bootloader，那你可能就沒辦法透過以 Win PE 開機來解決硬碟被 Bitlocker 鎖定的問題。此外好像有一些第三方製作的備援光碟含有 Win PE，但我這裡寫的方法就只是微軟官方提供的方法。 # 製作 Win PE 開機碟 1. 下載 Windows ADK 參照參考資料[4]，下載 Windows ADK，包含以下兩樣東西： - Windows ADK 10.1.26100.2454 （2024 年 12 月） - Windows ADK 10.1.26100.2454 的 Windows PE 附加元件 2. 安裝 Windows ADK 安裝 Windows ADK，安裝時選擇 [部署工具] 功能。 https://reurl.cc/eMzAOK （圖四、Windows ADK 安裝選擇畫面） 3. 啟動「部署與映像工具環境」以系統管理員身分打開一個叫做「部署與映像工具環境」的命令提示視窗。 https://reurl.cc/6Kvx0b （圖五、「部署與映像工具環境」的命令提示視窗） 4. 建立一個 Win PE 的暫時工作區參照參考資料[3]的步驟一，建立一個 Win PE 的暫時工作區。假設你將暫存區訂為 C:\WinPE_amd64，在部署與映像工具環境輸入以下指令。 ``` copype amd64 C:\WinPE_amd64 ``` 5. 建立可開機媒體參照參考資料[3]的步驟三：建立可開機媒體。準備一個空隨身碟，插入電腦的 USB 孔。假設隨身碟的磁碟代號是 P:，在在部署與映像工具環境下以下指令。 ``` MakeWinPEMedia /UFD C:\WinPE_amd64 P: ``` 這個指令會先將你的隨身碟格式化成開機碟，然後在隨身碟上建立你放在暫時工作區的 Win PE 環境。 # 參考資料 [1] BitLocker 復原概觀 - Microsoft Learn https://learn.microsoft.com/zh-tw/windows/security/operating-system-security/ data-protection/bitlocker/recovery-overview [2] Understanding BitLocker TPM Protection - ElcomSoft Blog https://blog.elcomsoft.com/2021/01/understanding-bitlocker-tpm-protection/ [3] 建立可開機的 Windows PE 媒體 - Microsoft Learn https://learn.microsoft.com/zh-tw/windows-hardware/manufacture/desktop/winpe- create-usb-bootable-drive?view=windows-11 [4] 下載及安裝 Windows ADK - Microsoft Learn https://learn.microsoft.com/zh-tw/windows-hardware/get-started/adk-install [5] 製作WinPE可開機光碟 - proliantaholic.blogspot.com https://proliantaholic.blogspot.com/2017/04/Win10PEADK.html [6] Analyzing the Chain of Trust Model Based on Entity Dependence （圖二之二來源） https://link.springer.com/chapter/10.1007/978-3-030-62974-8_9 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.118.15 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Windows/M.1745046651.A.9DD.html ※ 編輯: DarkIllusion (1.175.118.15 臺灣), 04/19/2025 18:04:04