Zum Inhalt springen

Mit BitLocker fehlerhaft gesperrte Festplatte retten


Quickshifter

Empfohlene Beiträge

GSFwa - weil googeln und YT-Videos halt doch nicht so viel können, muss ich nun euer Schwarmwissen anzapfen.

 

Ausgangssituation: Laptop mit SSD und normaler Festplatte

 

Auf der SSD (C:) soll eine komische Partitionierung beseitigt werden und in dem Zuge WIN 11 (vorher WIN 10) installiert werden.

Daten auf der zweiten Festplatte (D:) wurden nicht gesichert.

 

Problem: Nachdem die Installation auf C: erfolgreich abgeschlossen war, war D: mit BitLocker gesichert. Entsperren wird mit einer Fehlermeldung quittiert, beim Zugriff soll ein 48-stelliger Code eingegeben werden, der nicht bekannt ist. :shit:

Aus YT wurden einige Befehle für das Terminal (mit Admin-Rechten) ausprobiert um D: entweder direkt zu entschlüsseln oder sich den 48-stelligen Code anzeigen zu lassen. Hat alles nicht funktioniert. Im Microsoft-Account ist ebenfalls nichts zu finden.
Angeblich ist der Code in einer .bek-Datei gespeichert. Ich konnte mir im Terminal den Namen (lange Zahlenfolge) der Datei anzeigen lassen, hab aber keine Ahnung wo diese liegt und wie man sie "öffnen" könnte.


Frage: Welche Möglichkeiten gibt es, diesen BitLocker zu knacken oder anderweitig die Daten auszulesen und zu sichern?:devil: Wenn möglich zum selbst machen, kostenlos und schnell! :whistling:

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

dh man kann annehmen dass vorher das win10 mit dem TPM modul entsperrt wurde und dann wohl vllt auch die andere platte.

nachdem das win10 zerstört wurde und win11 installiert wurde, fehlt wohl nun etwas?

 

ich würde versuchen mich bzgl daten im TPM einzulesen ob man damit irgendwie was wiederherstellen kann.

 

der lange code der gefragt wird für D: ist der recovery code. beim einrichten des bitlockers kann man eben diesen sicher oder auch einen export in eine datei wählen. weiters wird normalerweise die info ins TPM modul geschrieben, damit windows beim hochfahren die platte gleich automatisch "entsperrt". sinnvollerweise richtet man sich da einen bitlocker einschaltpin ein um das windows nicht direkt von fremden angreifbar zu machen

 

bitlocker knacken spielt sich nicht, du hast nur die chance über den recovery key, einen export oder eben das TPM modul.

 

https://pulsesecurity.co.nz/articles/TPM-sniffing

 
Um den Volume Master Key aus dem BitLocker auszulesen, muss man das programmierte FPGA mit dem TPM-Chip des Clients verbinden (zumeinst anlöten) und dann den den Client starten. BitLocker sendet einige Daten an den TPM-Chip und dieser antwortet mit dem Volume Encryption Key (VEK) den man mitprotokolliert.
Bearbeitet von Motorhead
Link zu diesem Kommentar
Auf anderen Seiten teilen

Vermutlich, da nach der Win11-Installation keine Eingabe eines Lizenzschlüssels gefordert wurde.

Puh, dann forsche ich mal in diese Richtung. Bin nach 11 Jahren OSX wieder zu Windows gewechselt, fühl mich direkt wieder heimisch. :-D

 

Mal ne andere Idee: Es gibt ja Tools die Festplatten auslesen können, deren Master Boot Record defekt ist. Eine Formatierung würde diesen doch nur überschreiben und damit auch die BitLocker-Verschlüsselung? Wäre das eine Möglichkeit, die Verschlüsselung zu umgehen?
Oder völlig blöde Idee?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Bitlocker. Der Sinn der Sache ist, das da niemand an die verschlüsselten Daten rankommt, der nicht das Keyfile, oder den x-stelligen Code zum entschlüsseln hat. Dafür wurde das entwickelt. 

Warum das olle OS allerdings eine zweite, unabhängige HDD von selber verschlüsseln sollte, kann ich mir nicht so recht vorstellen. 

Wüsste nicht das Win10 das urplötzlich von selber macht, und wenn, dann nicht nach einem USB Stick oder einen Speicherort für das Entschlüsselungs Kennwort fragt. 

Ausser du bist in einer Domäne unterwegs dann wirds im AD gespeichert. 

Ist deine Boot und Haupt SSD denn auch verschlüsselt? 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nein, die Boot-SSD ist unverschlüsselt.

 

Kann es damit zusammenhängen, das Windows die FP erst initialisieren muss? Dann wären die Daten zwar auch "futsch" aber vermutlich mit Tools auslesbar.

Allerdings erklärt das nicht die Verschlüsselung. Wie gesagt, ich bin nach der Installation aus allen Wolken gefallen.

Blöde Frage, was ist ne Domäne? Würde die Frage trotz Unwissenheit mit nein beantworten. :-D

 

An Linux dachte ich auch schon aber wenn das so einfach wäre, wäre die Verschlüsselung völlig sinnlos. 

 

Edith: Kurz gegoogelt, bin in keiner Domäne unterwegs. :) 

Bearbeitet von Quickshifter
Link zu diesem Kommentar
Auf anderen Seiten teilen

Blöde Frage, weil mir mal etwas ähnliches passiert ist: kann es nicht vielleicht sein, dass du das Passwort zur Entschlüsselung eingegeben hast ohne es als solches wahrzunehmen?

 

Gefühlt habe ich schon 47000 mal Windoof installiert, in wirklich aber wahrscheinlich keine 10 mal. Ich denke jedesmal, dass es ja mal eben flott geht und mache es so nebenbei, ohne jede Meldung aufmerksam zu lesen. Irgendwann habe ich mal irgendwo bei Verschlüsseln oder Sichern oder so einen Haken gesetzt, eine paar Klicks später sollte ich ein Passwort eingeben. Zwischen durch habe ich irgendwas anderes gemacht, gegessen, geknackt und/oder gesoffen, nach der Installation war die Festplatte verschlüsselt. 

 

Da gab's erstmal große Ratlosigkeit was und wie und überhaupt. Letztlich wars aber dann tatsächlich mein 0815 Standardpasswort, dass ich - ohne es mitzuschneiden, da ich ich 23 andere Dinge parallel gemacht habe - zur Verschlüsselung gesetzt habe... 

 

Ohne dass ich irgendeine Passwort gesetzt habe, hat sich bei meinen 47000 Installationen noch nie etwas verschlüsselt. 

 

Oder könnte das irgendeine entartete oder fehlerhafte Erpressungsverschlüsselungsnummer sein? 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das normale Passwort hatte ich ausprobiert, es wird jedoch der 48-stellige Code gefordert.

 

Für jegliche erpresserische Verschlüsselung fehlt nach der Neuinstallation die Möglichkeit des Zugriffs auf das System. Und ein Erpresserschreiben.

 

Für mich sieht das nach ner Fehlfunktion aus. Oder: It's a feature, not a bug. :alien:

 

Ich tendiere grad dazu, es doch noch mit Linux zu probieren. Dann habe ich alles getan, ansonsten bleibt nur noch die FP platt zu machen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Keine Ahnung welches Format da verbaut ist. Heute kann ich nochmal Hand anlegen, dann isser weg. Ob die FP dann formatiert wird oder sich jemand anderes daran versucht, liegt außerhalb meiner Entscheidung.

Mich wurmt es, den Mist verbockt zu haben, ohne jedoch zu wissen, wo der Fehler lag und ohne den Fehler beheben zu können.:-(

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 28.1.2022 um 08:19 hat Tanatos folgendes von sich gegeben:

so ein USB-Gehäuse hat sicher irgendjemand aus dem Bekanntenkreis in der Schublade liegen ;-) 

 

Und dann? Das ist doch eben der Sinn der verschlüsselten Datenträger auch auf diesem Weg nicht an die Daten zu kommen... 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es gab noch ein Happy End!

 

Der Besitzer des Laptops hat zwischenzeitlich festgestellt, dass es zwei Microsoft-Accounts gibt.:wacko: Auf dem zweiten war dann der Schlüssel zum Entschlüsseln der FP. Das passt zum Daten-Chaos, was auf der Kiste und sämtlichen verfügbaren Clouds herrscht. :wallbash:

War aus Sicht des Besitzers trotzdem mein Fehler, dass die FP gesperrt war.

 

Learning für mich: Jegliche zukünftige Hilfegesuche aus der Richtung werden abgelehnt, da ich keine Lust habe, am Ende der Sündenbock zu sein, wenn es nicht so klappt wie gedacht. Spart mir künftig wertvolle Lebenszeit. :whistling:

 

Vielen Dank für eure Tipps und Ideen! 

 

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.


×
×
  • Neu erstellen...

Wichtige Information