雪的教訓-韓雪Surface電腦數據是怎麼搶救的？

最近韓雪的Surface保修問題(點我呀)弄得挺難看，而做爲技術愛好者，盆盆也一直在關注韓雪Surface數據恢復背後所涉及的技術問題，由於這充分體現了Surface和Windows系統的最新安全特性優點。

那麼韓雪Surface數據究竟是如何搶救出來的呢，咱們不掌握內部消息，只能從其微博上獲取蛛絲馬跡。

感謝@微軟中國 提供了技術支持，終於把數據弄出來了。但機器估計仍是硬件壞了，準備讓朋友帶回美國去修。不幸中的萬幸啊。吸收的教訓就是:要用蘇菲的同窗千萬記得Onedrive備份數據。也謝謝這兩天給予各類信息和技術支持的各路大神和宅男們。也但願微軟在中國的售後能更加完善。

從其微博上能夠看出如下2點：

• 數據成功搶救

• 以前沒有用OneDrive主動備份數據，不然就直接網上恢復數據了。
  

以前還有一條微博，代表故障的現象是黑屏，也就是說有多是顯示器或者顯卡被破壞。

大半夜的@微軟中國 告訴我surfacepro3黑屏而後無法開機，各類方法都試了仍是沒用。該怎麼辦？？沒有備份？？去哪裏修？

因爲其設備爲美行，不能在中國區拆機，因此不多是完全沒法開機，不然只能拆機取硬盤，這樣就違反了保修條例。

因爲Surface是默認啓用BitLocker進行加密的，因此就算被別有用心的人拿走，也斷然不會發生香港陳冠希先生同樣的悲劇，這是Windows操做系統的一大優點。

一旦出現相似韓雪女士這樣的故障，因爲磁盤是加密的，爲了防止連本身都沒法搶救數據，因此Surface會自動把BitLocker的恢復密碼保存在OneDrive裏面。

恢復辦法推測

若是不是核心硬件的損毀，那麼恢復辦法並不複雜，用如下方法庶可奏效：

• 最簡單 假設操做系統正常，只是屏幕黑屏，那麼也許外接顯示器就能操做了。

• 有點難 若是硬盤上的系統也同時崩潰，通常能夠嘗試系統還原，不會致使我的數據的丟失

• 比較難 若是系統還原被禁用，能夠用U盤或者網絡方式的Windows PE引導系統(因爲是黑屏，能夠嘗試用外接顯示器)。用另一臺機器訪問韓雪女士的OneDrive站點，取出BitLocker恢復密碼，以便得到對加密磁盤的訪問。在Windows PE下用Robocopy、Xcopy等工具複製重要數據。

這多是其中的某種解決方案，但不肯定。

這就是盆盆本人的BitLocker恢復密碼，能夠登陸如下的OneDrive網址(可能須要×××)：

https://onedrive.live.com/recoverykey

您說放在OneDrive上不安全？

不會，您訪問OneDrive，是經過Https加密的，並且密鑰保存在OneDrive裏的安全區域。若是您用其餘未註冊電腦登陸OneDrive，還須要用您本身的手機短消息驗證。

BitLocker究竟是什麼東東？究竟是怎麼保護咱們的電腦的？又到底有啥辦法防止連咱們本身都"鬼子不能進村"？

BitLocker究竟是什麼東西？

BitLocker會進行全卷加密，但並非每個扇區都要進行加密，如下3個部分是保持明文狀態的。

• 引導扇區 很顯然引導扇區必須保持明文狀態，不然Windows將沒法正常引導。

• 壞的扇區 NTFS文件系統標記爲壞的扇區，沒法也不必進行加密。
  

• 卷元數據 也稱作Volume Metadata，存儲加密保護過的BitLocker重要密鑰。

何謂卷元數據？它是Windows用來保存加密後的BitLocker密鑰副本的數據結構。Windows會在每一個加密分區保存3份卷元數據的副本，以確保安全。不然若是卷元數據一旦破壞或者丟失，其中保存的BitLocker密鑰副本也會隨之破壞或丟失，致使分區沒法解密。

強調一下，儘管卷元數據是保持明文狀態的，可是其中的BitLocker密鑰倒是通過其餘密鑰加密的。這很容易理解，若是卷元數據中直接保存未經加密的BitLocker密鑰，就比如直接在防盜門外面掛一把門鑰匙，等因而「開門揖盜」。

密鑰鏈

• FVEK 全卷加密密鑰，用來解密磁盤分區，會被VMK加密，加密後的副本保存在前述的卷元數據裏。

• VMK 卷主密鑰，用來解密FEVK。會經過若干種方式對該VMK密鑰進行加密，加密後的副本也保存在前述的卷元數據裏。

• SRM 存放在TPM芯片裏，，這個密鑰會對VMK進行加密，並將加密後的VMK副本保存在前述的磁盤卷的卷元數據中

• 其餘 BitLocker還支持USB或者USB+PIN等模式對VMK密鑰進行保護，此外，還有經過恢復密碼對VMK密鑰加密生成的副本。
  

純TPM

韓雪Surface默認採用純TPM模式(美行的設備裏有TPM芯片)，TPM芯片裏會有SRM密鑰，這個密鑰會對VMK進行加密，並將加密後的VMK副本保存在前述的磁盤卷的卷元數據中。

解密原理 TPM芯片啓動時負責檢查系統多個啓動模塊的完整性(包括UEFI/BIOS、主引導記錄、引導扇區、引導代碼等引導組件)，以便確認計算機硬件沒有惡意修改過，而後就會釋放出存儲在TPM芯片裏的SRK密鑰，對VMK密鑰進行解密，再由VMK密鑰對FVEK密鑰進行解密，而後由FVEK密鑰負責最後對磁盤分區進行解密

可是因爲韓雪的Surface拿到微軟辦公室搶救數據時，可能用Windows PE來引導的，並無進入到硬盤，因此這時候沒法釋放SRK密鑰，沒法從密鑰鏈恢復FVEK。

這時候就要恢復密碼發揮做用了，在韓雪女士第一次拿到Surface並開始初始化設置時，Windows會要求用Microsoft Account登陸，這時候Surface會自動生成BitLocker恢復密碼，並用該恢復密碼對VMK進行加密，再生成一個VMK密鑰副本。

這樣只要登陸到OneDrive上，取回恢復密碼，就能從新根據另一條密鑰鏈，得到FVEK，最終恢復對數據的訪問！

說說扇區密鑰

直接用來解密加密分區的密鑰並非只有一把，而是給該加密分區的每個扇區都準備一把密鑰，稱作扇區密鑰。

爲何要給每一個扇區準備一把密鑰，而不是給整個分區準備一把密鑰，主要是爲了防止******。若是是整個分區只有單把密碼，***會嘗試在大量的扇區上寫入已知的數據，以便分析所得的結果，從而有可能找出密鑰的規律。如今每一個扇區都有本身獨立的密鑰，***就更加難以破解密鑰規律。

Windows系統是根據扇區編號以及FVEK密鑰，來計算每一個扇區的扇區密鑰。也就是說只要知道FVEK密鑰和扇區編號，就能夠知道扇區密鑰。因此扇區密鑰並不須要存儲，在須要時計算出來便可。

寫在最後

正由於Windows有那麼多高級特性，在背後默默地保護着咱們的系統，因此哪怕設備的硬件出現沒法預料的故障，韓雪女士的數據仍是能夠順利恢復。

若是韓女士能充分用好Windows自帶的OneDrive功能，把重要數據備份到微軟的雲端，則數據永遠不會丟失，並且永遠不會泄露出去。

讓咱們一塊兒來看看韓雪女士的忠告吧：

要用蘇菲的同窗千萬記得Onedrive備份數據。

這真是「雪」的教訓啊！

---

若是以爲華來四還不錯，那就微信掃描如下的二維碼關注吧。也能夠直接添加微信公衆號：sysinternal。