Bitlocker分区转换失败的恢复案例

一,故障描述

        客户的希捷2TB移动硬盘,划分为两个分区。客户按照网络上的教程将分区转换为FAT32格式,由于转换软件有明显的BUG,导致转换失败。重启电脑后系统自动执行自检,自检完成发现只有一个1.8TB的FAT32分区,分区内没有任何文件,数据全部丢失。由于两个分区分别保存了所有的照片和工作学习资料,十分重要,找到当地一家公司恢复,该公司表示无法扫描都任何数据,宣告恢复失败。于是找到本公司请求恢复。


                           

二,问题分析

       该硬盘划分为两个分区,分区大小分别为927GB和935GB,都执行了Bitlocker进行加密,使用NTFS文件系统管理该分区数据。随后电话与客户沟通获取两个分区的密码。

三,恢复第二个分区

        使用市面上的软件查找丢失的分区,没有任何收获。编写软件查找Bitlocker加密元数据信息,根据元数据信息推测出分区的开始LBA。然后手动重建DBR及分区表,重新插拔后在系统下可以看见该分区,显示为Bitlocker加密状态,输入客户提供的密码,成功恢复数据。

四,恢复第一个分区

       手动重建第一个分区的分区表和DBR,重新插拔后磁盘不显示加密的图标,因此可以断定加密元数据已经损坏。据客户描述,两个分区的密码一致,且为同一时间加密。于是,复制第二个分区的加密元数据信息,修改后写入到第一个分区的元数据信息扇区。重新插拔硬盘,系统可以识别到该分区,磁盘显示Btilocker图标,输入密码后打开分区,提示未格式化,点击取消后提示无法访问。




到这一步,可以确定文件系统损坏较为严重,但是底层扇区已经解密,使用恢复软件扫描,可以找到97%以上的数据。

    至此,被破坏的Bitlock加密分区恢复成功

五,后话

    在执行任何有风险的操作时,都应该先备份重要数据,防止执行操作的过程中出现数据丢失的情况,本例中,客户在转换失败后没有继续执行其它操作,这对后期的恢复成功率有非常大的帮助。网络教程害人不浅,不可全信。如遇到数据问题,应该第一时间求助专业人士