前言

BitLocker 是 Windows 内置的全盘加密功能。从 Windows 10 Pro 开始，系统就自带了这个功能。很多用户在购买新电脑后发现硬盘已经被 BitLocker 自动加密了，而自己完全不知道。

当电脑崩溃、重装系统、或更换主板后，BitLocker 会要求输入恢复密钥。如果你之前没有保存过这个密钥，整个硬盘的数据就可能永久丢失。

这篇文章将系统介绍 BitLocker 的恢复机制和各种密码找回方法。

BitLocker 的三种解锁方式

BitLocker 支持三种解锁方式，了解它们对于数据恢复至关重要：

⚠️ 重要提醒：恢复密钥是最终的安全网。即使你忘记了密码，只要有 48 位恢复密钥，就能解锁 BitLocker。

第一步：找回 BitLocker 恢复密钥

在尝试破解之前，强烈建议先找回恢复密钥，因为这比破解密码快得多。

1. Microsoft 账户（最常见的位置）

如果你的 Windows 使用了 Microsoft 账户登录，恢复密钥可能已自动备份到云端：

1. 访问 https://account.microsoft.com/devices/recoverykey
2. 用你的 Microsoft 账户登录
3. 查看是否有对应设备的恢复密钥

2. Azure Active Directory（企业用户）

如果电脑加入了公司域（Azure AD），恢复密钥可能存储在 Azure 中：

1. 访问 https://myaccount.microsoft.com
2. 点击"设备" → 选择你的设备 → 查看 BitLocker 密钥
3. 或联系公司 IT 管理员获取

3. 打印的纸质备份

设置 BitLocker 时，系统提供了"打印恢复密钥"的选项。检查你的重要文件柜。

4. USB 备份

BitLocker 也支持将恢复密钥保存为 USB 驱动器上的文本文件。检查你所有的 U 盘。

5. Active Directory（传统域环境）

如果电脑加入了传统 Windows 域：

• 联系域管理员
• 管理员可以在"Active Directory 用户和计算机" → 计算机属性 → “BitLocker 恢复"中找到

第二步：通过命令行管理 BitLocker

查看 BitLocker 状态

打开管理员命令提示符或 PowerShell：

1
2
3
4
5

# 查看所有驱动器的 BitLocker 状态
manage-bde -status

# 查看特定驱动器
manage-bde -status C:

输出示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

卷 C: [Windows]
[OS 卷]

    大小:                 237.87 GB
    BitLocker 版本:       2.0
    转换状态:             已完全加密
    加密百分比:           100.0%
    加密方法:             XTS-AES 128
    保护状态:             保护打开
    锁定状态:             已解锁
    标识符:               {ABCD1234-...}
    密钥保护程序:
        TPM
        恢复密码

使用恢复密钥解锁

如果你找到了 48 位恢复密钥：

1
2
3
4
5

# 使用恢复密钥解锁
manage-bde -unlock D: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456

# 或使用恢复密钥文件
manage-bde -unlock D: -RecoveryKeyFile "E:\BitLocker Recovery Key.txt"

重置 BitLocker 密码

如果你能解锁驱动器但想更换密码：

1
2
3
4
5

# 更改 BitLocker 密码
manage-bde -changepassword D:

# 或添加新的密码保护程序
manage-bde -protectors -add D: -password

第三步：BitLocker 密码破解方法

如果恢复密钥也找不到了，以下是密码恢复的技术方案。

方法 1：dislocker（Linux 下挂载 BitLocker 卷）

dislocker 是 Linux 下唯一能读写 BitLocker 加密卷的工具：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

# 安装
sudo apt install dislocker

# 创建挂载点
sudo mkdir -p /mnt/bitlocker /mnt/dislocker

# 使用恢复密码挂载
sudo dislocker -V /dev/sdb1 -p123456-123456-123456-123456-123456-123456-123456-123456 -- /mnt/bitlocker

# 或使用密码挂载
sudo dislocker -V /dev/sdb1 -uYourPassword -- /mnt/bitlocker

# 挂载解密后的文件系统
sudo mount -o loop /mnt/bitlocker/dislocker-file /mnt/dislocker

# 现在可以访问文件了
ls /mnt/dislocker

方法 2：John the Ripper 提取并破解

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# 1. 从 BitLocker 卷提取密码哈希
# 使用 bitlocker2john 工具
./bitlocker2john -i /dev/sdb1 > bl_hash.txt

# 输出格式：
# $bitlocker$1$16$...$100000$12$...

# 2. 使用字典攻击
john --wordlist=rockyou.txt bl_hash.txt

# 3. 查看结果
john --show bl_hash.txt

方法 3：Hashcat GPU 加速

1
2
3
4
5
6

# BitLocker 在 Hashcat 中的模式编号是 22100
hashcat -m 22100 -a 0 bl_hash.txt wordlist.txt

# 使用掩码攻击（如果记得密码部分信息）
# 假设记得密码以 "My" 开头，后跟 4 个数字
hashcat -m 22100 -a 3 bl_hash.txt "My?d?d?d?d"

速度参考（GTX 3080）：约 30K/s，比 Office 文档快，但也不算特别快。

方法 4：BitCracker（开源专用工具）

BitCracker 是专门为 BitLocker 设计的密码破解工具：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

# 编译安装
git clone https://github.com/e-ago/bitcracker.git
cd bitcracker
mkdir build && cd build
cmake .. && make

# 提取哈希
./bitcracker_hash -i /dev/sdb1 -o /tmp/hashes

# 使用字典破解
./bitcracker_attack -m dict -h /tmp/hashes/hash_user_pass.txt -d wordlist.txt -o /tmp/output

# 使用暴力破解（指定密码长度）
./bitcracker_attack -m bruteforce -h /tmp/hashes/hash_user_pass.txt -o /tmp/output -l 6 -u 8

方法 5：商业取证工具

对于企业或执法场景，以下商业工具可以处理 BitLocker：

• Passware Kit（$3,195 起）：业界标准取证工具，支持 BitLocker、FileVault 等
• Elcomsoft System Recovery（$249）：支持从休眠文件和内存镜像提取密钥
• Magnet AXIOM：数字取证平台，支持从内存中提取 BitLocker 密钥

方法 6：从内存/休眠文件中提取密钥

如果电脑在 BitLocker 解锁状态下曾经休眠或崩溃，内存镜像中可能残留有解密密钥：

1
2
3
4
5
6
7

# 从 Windows 休眠文件提取（需要 Volatility 取证框架）
# 1. 获取 hiberfil.sys 文件
# 2. 使用 Volatility 分析
volatility -f hiberfil.sys --profile=Win10x64 bitlocker

# 或使用 AESKeyFinder 从内存镜像提取 AES 密钥
aeskeyfinder memory_dump.raw

💡 注意：此方法需要专业取证知识，且成功率取决于内存镜像的质量和时效性。

方法 7：云端 BitLocker 恢复服务

如果你不想折腾命令行工具，或者本地算力不足，可以借助云端服务：

猫密网 (Catpasswd) 支持 BitLocker 加密文件的密码恢复。

处理大文件的技巧

BitLocker 加密的通常是整个硬盘分区（几十 GB 甚至几 TB），不可能整个上传。处理方式是：

1. 使用 猫密网 提供的特征提取工具（Catpasswd-Convert.exe）
2. 在本地对 BitLocker 加密卷运行特征提取
3. 工具只提取加密元数据（几 KB 的特征文件）
4. 上传特征文件到猫密网进行密码恢复
5. 源文件和加密数据完全留在本地，100% 安全

这种方式完美解决了大文件上传的问题，同时保护了数据隐私。

BitLocker 各破解方法对比

BitLocker 密码恢复的实用技巧

1. 优先搜索恢复密钥

再次强调：找恢复密钥比破解密码快 100 倍。搜索以下位置：

• Microsoft 账户在线
• 购买电脑时的文档
• 公司 IT 部门
• 曾经备份过的外接硬盘
• 电子邮箱（搜索"BitLocker"关键词）

2. 利用 TPM 自动解锁

如果硬盘还在原来的电脑上且 TPM 芯片正常，可以尝试：

1
2
3
4
5

# 查看 TPM 状态
tpm.msc

# 如果 TPM 可用，重新启用 BitLocker 自动解锁
manage-bde -protectors -enable C:

3. 密码模式分析

BitLocker 密码通常有以下特点：

• 很多人使用 Windows 登录密码作为 BitLocker 密码
• PIN 码解锁通常是 4-6 位数字
• 移动硬盘的 BitLocker 密码可能与电脑登录密码相同

4. 不要贸然关闭 BitLocker

如果你不确定能否恢复数据，不要在未备份的情况下关闭 BitLocker 或清除 TPM，否则可能导致数据永久丢失。

常见问题

Q: BitLocker 有没有后门或万能密码？

没有。 BitLocker 使用的是 AES 加密（128 位或 256 位），目前没有已知的后门。微软也无法帮你绕过加密。唯一的恢复途径是找回恢复密钥或通过暴力/字典攻击破解密码。

Q: 重装系统后 BitLocker 要求输入恢复密钥，怎么办？

这是因为重装系统改变了 TPM 的状态。解决方法：

1. 先在 Microsoft 账户中找恢复密钥
2. 用恢复密钥解锁
3. 然后可以关闭并重新启用 BitLocker

Q: BitLocker To Go（U盘/移动硬盘）的密码和系统盘一样吗？

不一样。BitLocker To Go 是用于可移动驱动器的，密码是用户手动设置的。系统盘的 BitLocker 通常由 TPM 自动管理，用户可能从未设置过密码。

Q: BitLocker 加密的外接硬盘能直接挂载到 Mac 上吗？

macOS 原生不支持 BitLocker。需要用 dislocker 或第三方工具（如 Hasleo BitLocker Anywhere for Mac，$39.95）。

Q: 加密硬盘太大（几个 TB），怎么处理？

不要整个上传。使用 猫密网 的特征提取工具在本地提取加密元数据，只上传几 KB 的特征文件即可进行密码恢复。

预防措施：避免再次丢失 BitLocker 密钥

1. 备份恢复密钥到 Microsoft 账户：设置 BitLocker 时选择"保存到 Microsoft 账户”
2. 打印纸质备份：放在安全的文件柜中
3. 保存到 USB 驱动器：存放在与电脑不同的地方
4. 使用密码管理器：把恢复密钥记录在 1Password、Bitwarden 等密码管理器中
5. 企业用户：确保组策略配置了恢复密钥自动备份到 Active Directory

总结

BitLocker 数据恢复的优先级应该是：

1. 首先找恢复密钥（Microsoft 账户 → Azure AD → 纸质备份 → IT 部门）
2. 如果有恢复密钥：用 manage-bde 命令直接解锁
3. 如果没有恢复密钥：使用 Hashcat / John the Ripper 尝试密码破解
4. 如果需要帮助：使用 猫密网 的云端恢复服务 + 特征提取工具

BitLocker 的 AES 加密本身是非常安全的，关键在于密码的复杂度和恢复密钥的备份。养成备份密钥的好习惯，才能避免数据灾难。