雪的教训-韩雪Surface电脑数据是怎么抢救的？

最近韩雪的Surface保修问题(点我呀)弄得挺难看，而做为技术爱好者，盆盆也一直在关注韩雪Surface数据恢复背后所涉及的技术问题，由于这充分体现了Surface和Windows系统的最新安全特性优点。

那么韩雪Surface数据究竟是如何抢救出来的呢，咱们不掌握内部消息，只能从其微博上获取蛛丝马迹。

感谢@微软中国 提供了技术支持，终于把数据弄出来了。但机器估计仍是硬件坏了，准备让朋友带回美国去修。不幸中的万幸啊。吸收的教训就是:要用苏菲的同窗千万记得Onedrive备份数据。也谢谢这两天给予各类信息和技术支持的各路大神和宅男们。也但愿微软在中国的售后能更加完善。

从其微博上能够看出如下2点：

• 数据成功抢救

• 以前没有用OneDrive主动备份数据，不然就直接网上恢复数据了。
  

以前还有一条微博，代表故障的现象是黑屏，也就是说有多是显示器或者显卡被破坏。

大半夜的@微软中国 告诉我surfacepro3黑屏而后无法开机，各类方法都试了仍是没用。该怎么办？？没有备份？？去哪里修？

因为其设备为美行，不能在中国区拆机，因此不多是完全没法开机，不然只能拆机取硬盘，这样就违反了保修条例。

因为Surface是默认启用BitLocker进行加密的，因此就算被别有用心的人拿走，也断然不会发生香港陈冠希先生同样的悲剧，这是Windows操做系统的一大优点。

一旦出现相似韩雪女士这样的故障，因为磁盘是加密的，为了防止连本身都没法抢救数据，因此Surface会自动把BitLocker的恢复密码保存在OneDrive里面。

恢复办法推测

若是不是核心硬件的损毁，那么恢复办法并不复杂，用如下方法庶可奏效：

• 最简单 假设操做系统正常，只是屏幕黑屏，那么也许外接显示器就能操做了。

• 有点难 若是硬盘上的系统也同时崩溃，通常能够尝试系统还原，不会致使我的数据的丢失

• 比较难 若是系统还原被禁用，能够用U盘或者网络方式的Windows PE引导系统(因为是黑屏，能够尝试用外接显示器)。用另一台机器访问韩雪女士的OneDrive站点，取出BitLocker恢复密码，以便得到对加密磁盘的访问。在Windows PE下用Robocopy、Xcopy等工具复制重要数据。

这多是其中的某种解决方案，但不肯定。

这就是盆盆本人的BitLocker恢复密码，能够登陆如下的OneDrive网址(可能须要×××)：

https://onedrive.live.com/recoverykey

您说放在OneDrive上不安全？

不会，您访问OneDrive，是经过Https加密的，并且密钥保存在OneDrive里的安全区域。若是您用其余未注册电脑登陆OneDrive，还须要用您本身的手机短消息验证。

BitLocker究竟是什么东东？究竟是怎么保护咱们的电脑的？又到底有啥办法防止连咱们本身都"鬼子不能进村"？

BitLocker究竟是什么东西？

BitLocker会进行全卷加密，但并非每个扇区都要进行加密，如下3个部分是保持明文状态的。

• 引导扇区 很显然引导扇区必须保持明文状态，不然Windows将没法正常引导。

• 坏的扇区 NTFS文件系统标记为坏的扇区，没法也不必进行加密。
  

• 卷元数据 也称作Volume Metadata，存储加密保护过的BitLocker重要密钥。

何谓卷元数据？它是Windows用来保存加密后的BitLocker密钥副本的数据结构。Windows会在每一个加密分区保存3份卷元数据的副本，以确保安全。不然若是卷元数据一旦破坏或者丢失，其中保存的BitLocker密钥副本也会随之破坏或丢失，致使分区没法解密。

强调一下，尽管卷元数据是保持明文状态的，可是其中的BitLocker密钥倒是通过其余密钥加密的。这很容易理解，若是卷元数据中直接保存未经加密的BitLocker密钥，就比如直接在防盗门外面挂一把门钥匙，等因而“开门揖盗”。

密钥链

• FVEK 全卷加密密钥，用来解密磁盘分区，会被VMK加密，加密后的副本保存在前述的卷元数据里。

• VMK 卷主密钥，用来解密FEVK。会经过若干种方式对该VMK密钥进行加密，加密后的副本也保存在前述的卷元数据里。

• SRM 存放在TPM芯片里，，这个密钥会对VMK进行加密，并将加密后的VMK副本保存在前述的磁盘卷的卷元数据中

• 其余 BitLocker还支持USB或者USB+PIN等模式对VMK密钥进行保护，此外，还有经过恢复密码对VMK密钥加密生成的副本。
  

纯TPM

韩雪Surface默认采用纯TPM模式(美行的设备里有TPM芯片)，TPM芯片里会有SRM密钥，这个密钥会对VMK进行加密，并将加密后的VMK副本保存在前述的磁盘卷的卷元数据中。

解密原理 TPM芯片启动时负责检查系统多个启动模块的完整性(包括UEFI/BIOS、主引导记录、引导扇区、引导代码等引导组件)，以便确认计算机硬件没有恶意修改过，而后就会释放出存储在TPM芯片里的SRK密钥，对VMK密钥进行解密，再由VMK密钥对FVEK密钥进行解密，而后由FVEK密钥负责最后对磁盘分区进行解密

可是因为韩雪的Surface拿到微软办公室抢救数据时，可能用Windows PE来引导的，并无进入到硬盘，因此这时候没法释放SRK密钥，没法从密钥链恢复FVEK。

这时候就要恢复密码发挥做用了，在韩雪女士第一次拿到Surface并开始初始化设置时，Windows会要求用Microsoft Account登陆，这时候Surface会自动生成BitLocker恢复密码，并用该恢复密码对VMK进行加密，再生成一个VMK密钥副本。

这样只要登陆到OneDrive上，取回恢复密码，就能从新根据另一条密钥链，得到FVEK，最终恢复对数据的访问！

说说扇区密钥

直接用来解密加密分区的密钥并非只有一把，而是给该加密分区的每个扇区都准备一把密钥，称作扇区密钥。

为何要给每一个扇区准备一把密钥，而不是给整个分区准备一把密钥，主要是为了防止******。若是是整个分区只有单把密码，***会尝试在大量的扇区上写入已知的数据，以便分析所得的结果，从而有可能找出密钥的规律。如今每一个扇区都有本身独立的密钥，***就更加难以破解密钥规律。

Windows系统是根据扇区编号以及FVEK密钥，来计算每一个扇区的扇区密钥。也就是说只要知道FVEK密钥和扇区编号，就能够知道扇区密钥。因此扇区密钥并不须要存储，在须要时计算出来便可。

写在最后

正由于Windows有那么多高级特性，在背后默默地保护着咱们的系统，因此哪怕设备的硬件出现没法预料的故障，韩雪女士的数据仍是能够顺利恢复。

若是韩女士能充分用好Windows自带的OneDrive功能，把重要数据备份到微软的云端，则数据永远不会丢失，并且永远不会泄露出去。

让咱们一块儿来看看韩雪女士的忠告吧：

要用苏菲的同窗千万记得Onedrive备份数据。

这真是“雪”的教训啊！

---

若是以为华来四还不错，那就微信扫描如下的二维码关注吧。也能够直接添加微信公众号：sysinternal。