最近韩雪的Surface保修问题(点我呀)弄得挺难看,而作为技术爱好者,盆盆也一直在关注韩雪Surface数据恢复背后所涉及的技术问题,因为这充分体现了Surface和Windows系统的最新安全特性优势。


那么韩雪Surface数据到底是如何抢救出来的呢,我们不掌握内部消息,只能从其微博上获取蛛丝马迹。


感谢@微软中国 提供了技术支持,终于把数据弄出来了。但机器估计还是硬件坏了,准备让朋友带回美国去修。不幸中的万幸啊。吸取的教训就是:要用苏菲的同学千万记得Onedrive备份数据。也谢谢这两天给予各种信息和技术支持的各路大神和宅男们。也希望微软在中国的售后能更加完善。


从其微博上可以看出以下2点:

  • 数据成功抢救

  • 之前没有用OneDrive主动备份数据,否则就直接网上恢复数据了。


之前还有一条微博,表明故障的现象是黑屏,也就是说有可能是显示器或者显卡被破坏。


大半夜的@微软中国 告诉我surfacepro3黑屏然后没法开机,各种方法都试了还是没用。该怎么办??没有备份??去哪里修?


由于其设备为美行,不能在中国区拆机,所以不可能是彻底无法开机,否则只能拆机取硬盘,这样就违反了保修条例。


由于Surface是默认启用BitLocker进行加密的,所以就算被别有用心的人拿走,也断然不会发生香港陈冠希先生一样的悲剧,这是Windows操作系统的一大优势。


一旦出现类似韩雪女士这样的故障,由于磁盘是加密的,为了防止连自己都无法抢救数据,所以Surface会自动把BitLocker的恢复密码保存在OneDrive里面。


恢复办法推测


如果不是核心硬件的损毁,那么恢复办法并不复杂,用以下方法庶可奏效:

  • 最简单 假设操作系统正常,只是屏幕黑屏,那么也许外接显示器就能操作了。

  • 有点难 如果硬盘上的系统也同时崩溃,一般可以尝试系统还原,不会导致个人数据的丢失

  • 比较难 如果系统还原被禁用,可以用U盘或者网络方式的Windows PE引导系统(由于是黑屏,可以尝试用外接显示器)。用另外一台机器访问韩雪女士的OneDrive站点,取出BitLocker恢复密码,以便获得对加密磁盘的访问。在Windows PE下用Robocopy、Xcopy等工具复制重要数据。


这可能是其中的某种解决方案,但不确定。


这就是盆盆本人的BitLocker恢复密码,可以登录以下的OneDrive网址(可能需要翻墙):

https://onedrive.live.com/recoverykey

640?tp=webp&wxfrom=5


您说放在OneDrive上不安全?


不会,您访问OneDrive,是通过Https加密的,而且密钥保存在OneDrive里的安全区域。如果您用其他未注册电脑登录OneDrive,还需要用您自己的手机短消息验证。


BitLocker到底是什么东东?到底是怎么保护我们的电脑的?又到底有啥办法防止连我们自己都"鬼子不能进村"?


BitLocker到底是什么东西?


BitLocker会进行全卷加密,但并不是每一个扇区都要进行加密,以下3个部分是保持明文状态的。

640?tp=webp&wxfrom=5


  • 引导扇区 很显然引导扇区必须保持明文状态,否则Windows将无法正常引导。

  • 坏的扇区 NTFS文件系统标记为坏的扇区,无法也没必要进行加密。

  • 卷元数据 也称做Volume Metadata,存储加密保护过的BitLocker重要密钥。


何谓卷元数据?它是Windows用来保存加密后的BitLocker密钥副本的数据结构。Windows会在每个加密分区保存3份卷元数据的副本,以确保安全。否则如果卷元数据一旦破坏或者丢失,其中保存的BitLocker密钥副本也会随之破坏或丢失,导致分区无法解密。


强调一下,尽管卷元数据是保持明文状态的,但是其中的BitLocker密钥却是经过其他密钥加密的。这很容易理解,如果卷元数据中直接保存未经加密的BitLocker密钥,就好比直接在防盗门外面挂一把门钥匙,等于是“开门揖盗”。


密钥链


640?tp=webp&wxfrom=5

  • FVEK 全卷加密密钥,用来解密磁盘分区,会被VMK加密,加密后的副本保存在前述的卷元数据里。

  • VMK 卷主密钥,用来解密FEVK。会通过若干种方式对该VMK密钥进行加密,加密后的副本也保存在前述的卷元数据里。

  • SRM 存放在TPM芯片里,,这个密钥会对VMK进行加密,并将加密后的VMK副本保存在前述的磁盘卷的卷元数据中

  • 其他 BitLocker还支持USB或者USB+PIN等模式对VMK密钥进行保护,此外,还有通过恢复密码对VMK密钥加密生成的副本。


纯TPM


韩雪Surface默认采用纯TPM模式(美行的设备里有TPM芯片),TPM芯片里会有SRM密钥,这个密钥会对VMK进行加密,并将加密后的VMK副本保存在前述的磁盘卷的卷元数据中。


解密原理 TPM芯片启动时负责检查系统多个启动模块的完整性(包括UEFI/BIOS、主引导记录、引导扇区、引导代码等引导组件),以便确认计算机硬件没有恶意修改过,然后就会释放出存储在TPM芯片里的SRK密钥,对VMK密钥进行解密,再由VMK密钥对FVEK密钥进行解密,然后由FVEK密钥负责最后对磁盘分区进行解密


但是由于韩雪的Surface拿到微软办公室抢救数据时,可能用Windows PE来引导的,并没有进入到硬盘,所以这时候无法释放SRK密钥,无法从密钥链恢复FVEK。


这时候就要恢复密码发挥作用了,在韩雪女士第一次拿到Surface并开始初始化设置时,Windows会要求用Microsoft Account登录,这时候Surface会自动生成BitLocker恢复密码,并用该恢复密码对VMK进行加密,再生成一个VMK密钥副本。

640?tp=webp&wxfrom=5

这样只要登录到OneDrive上,取回恢复密码,就能重新根据另外一条密钥链,获得FVEK,最终恢复对数据的访问!


说说扇区密钥


直接用来解密加密分区的密钥并不是只有一把,而是给该加密分区的每一个扇区都准备一把密钥,称做扇区密钥。


为什么要给每个扇区准备一把密钥,而不是给整个分区准备一把密钥,主要是为了防止黑客攻击。如果是整个分区只有单把密码,黑客会尝试在大量的扇区上写入已知的数据,以便分析所得的结果,从而有可能找出密钥的规律。现在每个扇区都有自己独立的密钥,黑客就更加难以破解密钥规律。


Windows系统是根据扇区编号以及FVEK密钥,来计算每个扇区的扇区密钥。也就是说只要知道FVEK密钥和扇区编号,就可以知道扇区密钥。所以扇区密钥并不需要存储,在需要时计算出来即可。


写在最后


正因为Windows有那么多高级特性,在背后默默地保护着我们的系统,所以哪怕设备的硬件出现无法预料的故障,韩雪女士的数据还是可以顺利恢复。


如果韩女士能充分用好Windows自带的OneDrive功能,把重要数据备份到微软的云端,则数据永远不会丢失,而且永远不会泄露出去。


让我们一起来看看韩雪女士的忠告吧:


要用苏菲的同学千万记得Onedrive备份数据。


这真是“雪”的教训啊!




如果觉得来四还不错,那就微信扫描以下的二维码关注吧。也可以直接添加微信公众号:sysinternal

640?wxfrom=5