用bitlocker实现磁盘加密
对编程实现访问VISTA加密硬盘的
认识和建议
2006-10-28
目录
1.VISTA对磁盘的加密 (3)
1.1 磁盘加密的必要性 (3)
1.2 VISTA的加密措施 (3)
2.通过WMI 对加密磁盘进行访问 (4)
2.1 WMI是什么 (4)
2.2 WMI 在系统中的体系层次 (5)
2.3 WMI的逻辑结构 (6)
2.4 编制WMI 应用程序 (6)
2.5 WMI 对BitLocker和TPM 的访问支持 (7)
3.相关的认识和建议 (7)
3.1 官方文档描述的WMI 可以实现的功能 (7)
3.2 结论、建议和可能的实施步骤 (8)
参考资料 (9)
1.VISTA对磁盘的加密
1.1 磁盘加密的必要性
信息安全一直是Windows重点关注的方面,微软希望在新的一代Windows操作系统V ista 中大大改善其倍受攻击的安全性。与以前的版本相比,Vista为用户提供了更加全面的保护:包括防火墙、自动更新、间谍软件防范、Internet安全设置、用户账户控制,等等。
但是,上述的这些安全措施,并不能防范用户因PC 硬件丢失、被盗或不当的淘汰处理所造成的数据失窃或泄漏。在这些情况下,窃密者可以通过离线式攻击方法,也就是直接接触、使用或者挂接你的电脑来实施入侵行为,获取计算机里面的数据。而之前的Windows 系统只能对硬盘采取有限的加密手段,在离线式攻击面前不堪一击,从而造成机密信息在非法使用者面前暴露无遗。比如,在Windows XP系统下,用户的账户保护非常脆弱,专业技术人员可以在短时间内破解掉它,从而以超级用户身份进入操作系统,进而获取该系统任何信息的处理权限。
怎样确保系统即便在遭受离线式攻击的时候也安全呢?Windows V ista 的思路是在遭受离线式攻击时候,首先保证操作系统本身不被入侵,然后通过操作系统来保护其余信息的安全。
1.2 VISTA 的加密措施
在Windows V ista中,保护操作系统本身不被非法进入的新技术称为BitLocker Drive Encryption ( BDE,数位锁驱动器加密)。对其余信息的保护采用的是Encrypting File System (EFS,文件加密系统)技术,在Vista之前,该技术已经被应用于Windows 2000/XP/2003操作系统中。需要强调的是,BDE和EFS针对的都是NTFS文件系统卷上的数据;而且,并不是所有的Windows V ista版本都支持BitLocker驱动器加密,相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。
BitLocker驱动器加密是Vista引入的一种新的加密模式,它只能加密系统分区也就是Windows V ista所在的分区,加密后的磁盘或者磁盘分区是与计算机硬件(集成在主板上的TPM芯片或者USB闪存)捆绑在一起的,因此无法在其他计算机上解密。BitLocker 能够有效地防止非法使用者启动另外一个系统,或者通过离线方式浏览存储在受保护驱动器中的文件,或者使用解密工具来破坏Windows V ista中文件和系统保护机制。
EFS是一种基于用户账户的文件保护机制,也就是说它使用用户的计算机帐户对该用户的数据进行加。
利用BitLocker,所有用户和系统文件都可加密,包括交换和休眠文件。而EFS 则不能加密上述文件。
BitLocker和EFS相互补充,给系统安全提供强大的保护。Bitlocker系统分区,也就等于保护了用户账户,攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS所保护的任何数据了。
BitLocker 和EFS 具有对合法用户的操作透明性,也就是说,在使用(比如打开和更改)加密文件的时候,不需要手动解密已加密的文件,而且感觉不到系统对该文件的解密过程。
BitLocker主要是在本地用软硬结合的方式来保护VISTA所在分区上的数据。加密的时
候,用户可以将密匙保存到TPM 芯片,或者可移动的USB 磁盘,或者打印在纸张上。
启动VISTA的时候,通过BitLocker 还可选择锁定正常的引导过程,直至用户提供PIN (类似于A TM 卡PIN,针对采用TPM 芯片的情形)或插入含有密钥资料的USB 闪存驱动器,或者手工输入正确的密匙为止。BitLocker加密算法理论上来说不能破解,这要求用户严格保存好密匙,否则没有办法恢复对系统的访问。
用BitLocker加密后的NTFS文件系统分区,在离线状态下被视为未知文件系统分区。用EFS 加密后的文件/文件夹在离线状态下具有不可访问属性。
在硬盘迁移(将含有操作系统卷的硬盘驱动器移动到另一台计算机或更换系统主板),或者系统锁定情况下(可能是由硬件故障或直接攻击而引起),通过密匙,BitLocker 会提供一个简单而有效的恢复过程,还原VISTA系统。
2.通过WMI 对加密磁盘进行访问
BitLocker 提供了一个用于设置和管理的向导,并通过具备脚本编写支持的Windows 管理规范(Windows Management Instrumentation,WMI) 界面提供了可扩展性和可管理性。
对EFS 的访问或设置或管理还没有看到相应的接口支持。
2.1 WMI是什么
在WMI 之前,所有的Windows 图形化管理工具都依赖于Win32 应用程序编程接口(Application Programming Interfaces,APIs)来访问和管理Windows 资源。这种情况使Windows 系统管理员无法通过一种简便的方法利用常见的脚本语言来自动化常用的系统管理任务,因为大多数脚本语言都不能直接调用Win32 API。通过提供一致的模型和框架,WMI 改变了这种情况—通过模型和框架,所有的Windows 资源均被描述并公开给外界。最好的一点是,系统管理员可以使用WMI 脚本库创建系统管理脚本,从而管理任何通过WMI 公开的Windows 资源。
使用Windows Script Host 和Microsoft V isual Basic Scripting Edition (VBScript),或任何支持COM 自动化的脚本语言(例如,ActiveState Corporation 的ActivePerl),可以编写脚本来管理和自动化企业系统、应用程序和网络的下列方面,如:
Windows Server 2003、Windows XP 专业版和Windows 2000 系统管理――可以编写脚本来检索性能数据,管理事件日志、文件系统、打印机、进程、注册表设置、计划程序、安全性、服务、共享以及很多其他的操作系统组件和配置设置。
网络管理――可以创建基于WMI 的脚本来管理网络服务,例如DNS、DHCP 和启用SNMP 的设备。
实时健全监视――使用WMI 事件订阅,您可以编写代码以在事件发生时监视并响应事件日志项,监视并响应文件系统、注册表修改及其他实时的操作系统更改。基本上对WMI 来说,WMI 事件订阅和通知是在SNMP 环境中SNMP 陷阱是什么。
Windows .NET 企业服务器管理――可以编写脚本来管理Microsoft Application Center、Operations Manager、Systems Management Server、Internet Information Server、Exchange Server 和SQL Server。
Windows脚本就像万能胶,能够把独立的程序、服务、控件组合起来完成任务。脚本编程的技巧就是组合的技巧。
2.2 WMI 在系统中的体系层次
WMI是WBEM模型的一种实现。WBEM即Web-Based Enterprise Management,或基于Web的企业管理,WBEM由DMTF(Distributed Management Task Force,分布式管理任务组)在许多厂商的帮助下创立,包括Compaq、Sun、Microsoft等。WBEM的目标是,为管理企业环境开发一个标准的接口集。WBEM模型最关键的部分是它的数据模型(或描述和定义对象的方式)、编码规范(Encoding Specification),以及在客户端和服务器端之间传输数据的模式。
WBEM的数据模型是CIM(Common Information Model,公共信息模型)。CIM是一个用来命名计算机的物理和逻辑单元的标准的命名系统(或称为命名模式),例如硬盘的逻辑分区、正在运行的应用的一个实例,或者一条电缆。
CIM是一个面向对象的模型,使用一组面向对象的术语进行描述。CIM包含类(Class),类是被管理单元的模板。类的实例称为对象(Object),对象代表着底层系统的一个具体单元。名称空间(Namespace)是一个类的集合,每个名称空间面向一个特定的管理领域。类包含属性(Property)和方法(Method)。
CIM分三层。第一层是核心模型(Core Model),这一层包含的类定义对于所有管理领域来说都是共同的。第二层是公共模型(Common Model),这一层包含的类定义对于特定的管理领域来说是公共的,但与具体的操作系统和系统设计无关。第三层是扩展模型(Extension model),这一层包含的类定义与特定的操作系统或技术有关。
WMI是Microsoft扩展CIM 2.0得到的面向Win32系统的扩展模型。引用WMI类和属性的形式是“扩展前缀_类名称.属性名称”,例如Win32_https://www.360docs.net/doc/5e3418719.html,,其中Win32是CIM模式cimv2名称空间内WMI扩展类的前缀,ComputerSystem是类,Name是属性。
WMI是Windows 2K/XP管理系统的核心;对于其他的Win32操作系统,WMI是一个有用的插件。WMI以CIMOM为基础,CIMOM即公共信息模型对象管理器(Common Information Model Object Manager),是一个描述操作系统构成单元的对象数据库,为MMC 和脚本程序提供了一个访问操作系统构成单元的公共接口。有了WMI,工具软件和脚本程序访问操作系统的不同部分时不需要使用不同的API;相反,操作系统的不同部分都可以插入WMI,如图一所示(该图来自MSDN),工具软件和WMI可以方便地读写WMI。
图1 WMI 的体系层次
如前所述,WMI允许通过一个公共的接口访问多种操作系统构成单元,因此不必分别对待各种底层接口或所谓的“提供者”。利用WMI可以高效地管理远程和本地的计算机;
与此相对,并非所有的Windows 2K/XP命令行工具都支持远程运行。
编写WMI脚本的很大一部分工作涉及到读取和设置属性值。这些脚本就像万能胶,能够把独立的程序、服务、控件组合起来完成任务。脚本编程的技巧就是组合的技巧。XP和2003比2000带有更多的命令行工具,WMI也大大加强了,脚本的功能水涨船高,可以说是“只有想不到,没有做不到”,一切有待使用者的发掘。
2.3 WMI的逻辑结构
首先是WMI使用者,比如脚本(确切的说是脚本宿主)和其他用到WMI接口的应用程序。由WMI使用者访问CIM(公共信息模型Common Information Model)对象管理器WinMgmt(即WMI服务),后者再访问CIM储存库。静态或动态的信息(对象的属性)就保存在CIM库中,同时还存有对象的方法。一些操作,比如启动一个服务,通过执行对象的方法实现。这实际上是通过COM技术调用了各种dll。最后由dll中封装的API完成请求。
WMI是事件驱动的,操作系统、服务、应用程序、设备驱动程序等都可作为事件源,通过COM接口生成事件通知。WinMgmt捕捉到事件,然后刷新CIM库中的动态信息。这也是为什么WMI服务依赖EventLog的原因。
WMI是事件驱动的,整个事件处理机制分为四个部分:
A.事件生产者(provider):负责产生事件。WMI包含大量的事件生产者。有性能计数器之类的具体的事件生产者,也有类、实例的创建、修改、删除等通用的事件生产者。
B.事件过滤器(filter):系统每时每刻都在产生大量的事件,通过自定义过滤器,脚本可以捕获感兴趣的事件进行处理。
C.事件消费者(consumer):负责处理事件。它可以是可执行程序、动态链接库(dll,由WMI服务加载)或者脚本。
D.事件绑定(binding):通过将过滤器和消费者绑定,明确什么事件由什么消费者负责处理。
2.4 编制WMI 应用程序
Windows 管理规范(WMI) 是可伸缩的系统管理结构,它采用一个统一的、基于标准的、可扩展的面向对象接口,提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于Windows的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。不过,默认情况下并没有服务依赖它,反而是它要依赖RPC和EventLog服务。
采用C++ 编制WMI应用程序的过程如下:
A.初始化COM 环境:必须调用CoInitializeEx 和CoInitializeSecurity函数,这是由于WMI 是基于COM 技术的。
B.连接到适当的WMI 命名空间
C.设置锁连接命名空间的安全级别
D.编写应用程序
E.退出COM 环境
2.5 WMI 对BitLocker和TPM 的访问支持
WMI 提供对BitLocker和TPM 的事件支持(provider),用户可以采用脚本调用对BitLocker和TPM 进行配置、管理。
――The Security WMI providers enable administrators and programmers to configure BitLocker Drive Encryption (BDE) and the Trusted Platform Module (TPM) using Windows Management Instrumentation (WMI).
3.相关的认识和建议
3.1 官方文档描述的WMI 可以实现的功能
VISTA系统为BitLocker 提供了一个应用程序完成安装和管理的向导。并通过具备脚本编写支持的Windows 管理规范(WMI) 界面为该程序提供了可扩展性和可管理性。
IT 管理员可通过向导或由Windows V ista 的Win32_EncryptableV olume Windows 管理规范(WMI) 提供程序提供的界面来对BitLocker 进行本地和远程配置。这些界面包括多种管理功能,如磁盘卷加密的开始、暂停和恢复以及配置如何保护磁盘卷的加密密钥(FVEK)。
A.管理和检查磁盘状态
Windows Vista 和Windows 服务器“Longhorn”所附带的管理脚本(manage-bde.wsf) 为IT 管理员提供了一个管理和检查磁盘状态的简单方式。此脚本基于可用的WMI 提供程序而编写,可轻松地对其进行修改,以帮助针对不同的企业管理需求建立自定义解决方案。
B.通过WMI 启用WMI 保护的任何数据卷
对于存储在非安全环境或共享环境中(例如分支机构位置)的服务器,BitLocker 可确保为其提供的数据保护级别与为客户端计算机提供的相同。服务器上具备的这种附加功能可对操作系统卷加密,还可针对IT 管理员希望用WMI 保护的任何数据卷来通过WMI 启用。
C.远程启用BitLocker
默认情况下,BitLocker 驱动器加密功能不随Windows 服务器“Longhorn”一同安装。选择Add Features(添加功能),然后从选项列表中选择BitLocker Drive Encryption (BitLocker 驱动器加密),即可从InitialConfigurationTasks 菜单添加BitLocker。安装BitLocker 功能后,可按照本文档稍后所述的说明对其进行设置和维护。在服务器上安装BitLocker 驱动器加密后,必须重新启动。使用WMI,可远程启用BitLocker。
D.自动解锁
自动解锁功能满足的是在引导期间对数据卷自动解锁而不需要人为干预的需要。启用自动解锁时可将数据卷EWK 的纯文本副本提交到所引导操作系统的注册表中。在没有成功访问加密操作系统卷的情况下,无法访问数据卷上的数据。首次尝试从Windows 读取或查询数据卷会导致其VMK 被解密(通过从注册表读取EWK 来实现)。如果在操作系统卷中关闭BitLocker,则BitLocker 还会清除操作系统卷注册表中的任何密钥资料。在这些情况下,用户必须提供密钥才能访问数据卷。
系统管理员可使用可脚本化的WMI 界面来对每个系统启用或禁用自动锁定功能。要保持对数据卷的高级保护,任何人都不可以启用自动解锁功能,除非对操作系统卷启用了
BitLocker 或进行了加密。
E.数据卷的恢复
数据卷的恢复类似于操作系统卷的恢复。在出现故障前(最好在设置时),必须在其他介质上存储EWK 的副本。如果数据卷损坏、被移动到新平台或操作系统卷无法为自动解锁检索EWK,则用户可插入含有EWK 副本的介质。
界面和WMI 提供程序都支持对数据卷的恢复。在BitLocker 客户端版本中,对数据卷的处理方式类似于对外部卷的处理方式。只有EWK 在操作系统卷的注册表中丢失或损坏时,才需要将数据卷重新绑定到平台。
F.呈现不可访问卷上的数据
首先,使用GetKeyProtectors 来获取类型为“TPM”、“TPM 加PIN”和“TPM 加启动密钥”的所有密钥保护工具的标识符。[对于永久性安全淘汰,则获取所有密钥保护工具的标识符,包括恢复密钥。]
其次,[适用于永久性安全淘汰] 使用ProtectKeyWithNumericalPassword 和一个随机生成的密码序列13创建一个不使用的恢复密码blob(废除实际的恢复密码)。
再次,使用DeleteKeyProtector 删除与以上找到的标识符相关联的所有可用的密钥保护工具。
然后,[适用于永久性安全淘汰] 对于TPM 机器,清除使用TPM WMI 提供程序函数Win32_TPM.Clear 的TPM。
上述引用的方法名称通过BitLocker Windows 管理规范(WMI) 提供程序Win32_EncryptableV olume 来暴露。可被Windows V ista 识别的每个磁盘卷都是Win32_EncryptedV olume 提供程序类的一个实例。
G.修改BCD数据
此外,微软也在Windows V ista 中提供了可通过WMI (Windows Management Instrumentation : Windows管理规范)调用的BCD 类,通过它可以用编程的方式修改BCD 数据。
3.2 结论、建议和可能的实施步骤
A.结论
a)没有直接访问采用BitLocker 或者EFS 方式加密的分区或者数据。如果有,
则不符合数据加密的严格规范。
b)查找到的EFS 数据恢复软件AEFSDR(Advanced EFS Data Recovery)可以恢
复(没有具体测试)系统不能启动情况下的EFS 数据,但要求提供加密文件/
文件夹的密码、系统密码,和认证证书。
c)VISTA可以管理通过WMI 公开的BitLocker和TPM 资源。也就是采用
WMI 方式,而不是API 的方式提供对BitLocker 加密卷的管理和配置。这种
方式基于COM 组件,要求VISTA启动RPC、EventLog和WinMgmt服务。
该组件主要是针对脚本程序开发的,可能实现的功能有限。比如,官方文档提
到的那些可能实现的功能基本上属于对BitLocker 加密分区的管理,没有提及
对加密文档的直接访问。
B.实施步骤和分析
a)如果需要对BDE 加密分区进行访问,必然考虑对EFS 的解密。无论可以实
现的功能多少,官方文档提供了对BitLocker 的WMI 管理接口;而对EFS 则
没有提供相应的操作接口。
b)即便是考虑采用WMI 对BitLocker 进行访问,需要程序在VISTA系统(至
少是另外一个VISTA系统)中运行。
c)WMI 接口具体能实现哪些功能,还需要深入到WMI 中具体的接口类进行实
验。
C.建议
明确待开发软件的目标、需求,然后再具体深入到WMI 的Security Provider的BitLocker、TPM开发。
a)到底是在非VISTA系统、简化版本的VISTA系统,还是完全版本的VISTA系
统中对BDE 分区进行操作。
b)是不是需要对EFS 加密文件/文件夹进行操作。
参考资料
[1] Windows 2000 的企业级存储白皮书
[2] Windows Vista操作系统安全体系概览
[3] 为Vista的驱动器加密
[4] Windows Vista的BitLocker全盘加密
[5] BitLocker 驱动器加密:执行概述
[6] Windows 2000加密文件系统
[7] 深入剖析EFS
[8] 详解EFS加密
[9] 关于EFS加密的一些常见问题
[10] Windows 2000 的加密文件系统白皮书
[11] WMI 脚本入门
[12] 深入挖掘Windows脚本技术
[13] Creating a WMI Application Using C++
[14] Windows自动化管理的实现
最完整的winhex教程
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构
MB R C 盘 EB R D 盘 EB R E 盘 MBR,即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR 的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 63 1435329 63 1435329 63 1253889 MBR C盘EBR D盘EBR E盘 扩展分区
使用winhex修复优盘的MBR数据
用winhex修复U盘的MBR 复习:进制转换;K\M\G的关系; 1、MBR界面如下 说明: MBR:即主引导记录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但是实际上只使用了1个扇区(512字节),所谓的引导区病毒就是把这个扇区的数据搞乱而导致系统无法启动也无法使用。有一个简单的办法恢复引导扇区记录,在DOS模式下,输入命令: FDISK/MBR 这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据,此外,也可以用工具软件,例如DISKGEN,winhex等。 EBR:也叫扩展MBR。因为主引导记录最多只能描述4个分区,如果一个硬盘上多余4个分区,就要采用扩展MBR的办法。EBR的结果和MBR事一样的。 注意:1)编辑菜单中的“复制”、“黏贴”、“fill block”(填充块); 2)位置菜单中的“转到偏移”; 3)工具菜单中的“打开磁盘”,这里要注意一般打开“物理磁盘”即:physical media 2、Winhex软件是按照扇区分隔的,注意每一个扇区会有一个分割线,前446字节为引导 代码,可以不看,后64字节为分区信息,每个分区16个字节,共可以表示4个分区(含扩展分区),最后两个字节为“55 AA”,是分区结束标志。可以有一个简单办法记住分区信息:从55AA开始数,倒数第五行的倒数第二个数开始。
3、从55AA开始数,倒数第五行的倒数第二个数为“80”就意味着这个分区时可以启动的, 否则不可以启动。 4、从55AA开始数,倒数第四行的第三个数,是表示分区性质的。 5、从55AA开始数,倒数第四行的倒数第三个数开始有四个数,按照倒的顺序排列,是表 示这个分区的大小的,例如:B9 97 6C 03,实际上是:03 6C 97 B9,用“附件”中的“计算器”把他化为十进制,为57448377,这个表示扇区数目,一个扇区是512个字节,所以还要乘以512,即:57448377 X 521=29413569024字节,1G=1073741824字节,所以,29413569024字节=29.4G,也就是说这个分区大小是29.4G。 记住:1K=1024,1M=1024*1K, 1G=1024*1M 6、按照第五条,再往前数四个数,表示开始的扇区。可以看到前63个扇区没有用,除了 第一个扇区外,其他的扇区都是0,我们把第一个扇区的内容保存到第二个扇区(或者第三个。。。。。。。),然后再把第一个扇区的内容清空,然后保存,退出U盘,再插入U 盘,会发生什么情况呢? 7、提示:既可以把MBR信息的内容放到1-62号的任一扇区内,也可以把他作为一个文件 保存在另外的磁盘上(注意:不要有扩展名)。 8、现在把0号扇区的数据全部清零,保存,然后退出U盘,再插入U盘,会出现什么现 象? 9、如何把出现这个问题的U盘修复好呢? 10、思考:怎么找扩展分区呢? 11、将自己带的U盘的文件全部复制到D盘的一个文件夹中(这个文件夹是新建的, 专门用于保存U盘数据的。)然后尝试删除U盘的一个文件,用EASYRECOVER恢复,你能恢复吗? 12、胆子再大一点,把U盘格式化,再用EASYRECOVER恢复,你能恢复吗? 13、提示:在网上搜索数据恢复的软件,也许有比EASYRECOVER更好的数据恢复软 件,360就自带有数据恢复工具。
BitLocker 驱动器加密
了解有关BitLocker驱动器加密的更多信息 BitLocker驱动器加密可为丢失或被盗的操作系统驱动器、固定数据驱动器和可移动数据驱动器提供保护。BitLocker是通过以下方法来提供保护的:加密驱动器的内容并要求用户对其凭据进行身份验证来访问该信息。在安装Windows 的驱动器上,BitLocker使用受信任的平台模块(TPM) 来检测计算机的关键启动进程是否已被篡改。另外,可能要求用户提供PIN 或启动密钥才能访问驱动器数据。在固定数据驱动器和可移动数据驱动器上,用户可以通过使用密码、通过使用智能卡或通过自动解锁驱动器来访问受BitLocker保护的驱动器。 操作系统驱动器的BitLocker专门用于处理具有兼容TPM 安全硬件和BIOS 的系统。若要与BitLocker兼容,计算机制造商必须遵守受信任计算组(TCG) 定义的标准。有关TCG 的详细信息,请访问受信任计算组网站(https://www.360docs.net/doc/5e3418719.html,/fwlink/?LinkId=67440)。 启用BitLocker BitLocker安装向导可以从控制面板或Windows 资源管理器启动,它用于在计算机上安装的固定数据驱动器或可移动数据驱动器上启用BitLocker,或者用于在具有兼容TPM 的计算机的操作系统驱动器上启用BitLocker。如果希望在不带TPM 的计算机的操作系统驱动器上启用BitLocker,或者使用其他BitLocker功能和选项,则可以修改BitLocker组策略设置,这些设置控制通过BitLocker安装向导可以访问哪些功能。 在带有兼容TPM 的计算机上,可以使用以下四种方式解锁受BitLocker保护的操作系统驱动器: 仅TPM。使用“仅TPM”验证不要求与用户进行任何交互来解密驱动器及提供对驱动器的访问。如果TPM 验证成功,则用户登录体验与标准登录相同。如果缺少或已更改TPM,或者如果TPM 检测到关键的操作系统启动文件发生更改,则BitLocker将进入其恢复模式,需要恢复密码才能重新获得对数据的访问权限。 有启动密钥的TPM。除TPM 提供的保护之外,会将部分加密密钥存储在USB 闪存驱动器中。这称为启动密钥。没有启动密钥将无法访问加密卷上的数据。 有PIN 的TPM。除TPM 提供的保护之外,BitLocker还要求用户输入个人标识号(PIN)。如果不输入PIN,将无法访问加密卷上的数据。 有启动密钥和PIN 的TPM。此选项仅可以通过使用Manage-bde命令行工具进行配置。除TPM 提供的核心组件保护之外,会将加密密钥的一部分存储在USB 闪存驱动器上,并且需要一个PIN 来验证用户对TPM 的访问权限。这会提供多重身份验证,这样,如果USB 密钥丢失或被盗,因为还需要正确的PIN,所以不能使用USB 密钥访问驱动器。 注意 建议始终将默认的Windows TPM 驱动程序与BitLocker一起使用。如果安装了非Microsoft TPM 驱动程序,则它可能会阻止加载默认TPM 驱动程序并导致BitLocker报告计算机上不存在TPM。在这种情况下,BitLocker将不能使用TPM。如果将组策略设置配置为要求将BitLocker与TPM 一起使用,则直到删除非Microsoft 驱动程序,才能启用BitLocker。
用Winhex手动修复分区表以提取数据
一、初步应用——双分区恢复实例及分析 (一)、现场重现: 提示,切勿随意使用自己的硬盘进行试验,切记试验前保存重要数据。对于移动硬盘,损坏往往发生于硬盘传输数据中断电。现在我将一个有问题的移动硬盘接到电脑上,在“计算机管理”-->“磁盘工具”中我们可以看到这个未被初始化的磁盘显示为黑色(打开磁盘工具时它会提示你要初始化,不理它,点“取消”),在“计算机”中也找不到这个磁盘。 (二)、手动修复: (阅读有困难的朋友可以先读完第三节再回过头来看这一节,本节的另一个作用是让新手对Winhex界面有一个初步了解) 1、打开Winhex-->菜单栏-->选择“工具”-->打开磁盘(F9)-->选择要修复的硬盘,这里是HD2。
2、打开之后图中显示从0000H-->01ffH(16进制)之间的数据全部为0。 现在我从一个运转良好的硬盘分区表中将0000H-->01bdH之间的数据复制并粘贴到损坏硬盘的相应位置。
操作步骤为:在良好硬盘中拉选0000-->01bd之间的区块,被选中区块呈亮蓝色;复制选块; 接下来在损坏硬盘中拉选相应区域,将光标定位至0000;右键-->编辑-->粘贴板数据-->写入。将01fe,01ff填写为55AA,到这里一定保存。 点击黄色区域的图标并转移至63号扇区菜单“视图”-->模板管理(Alt+F12)-->NTFS引导扇区。
打开如下图,并记录黄色方框内的两个数值(63和63777986)
63+63777986+1=63778050,跳转至63778050扇区。 稍微向下滚动一点,看到那个粉色框标识出的55AA了嘛?往前找到黄色框内的部分,显示为3F 00 00 00,将其进行反向排列,变为00 00 00 3F于是3F(十六进制)=63(十进制)——我们称这个数为相对偏移量。 接下来跳转至63778050+63=63778113扇区,我们又发现了一个EB开头的扇区 再次选择菜单“视图”-->模板管理(Alt+F12)-->主引导记录NTFS引导扇区。打开如下图,同样记录一下黄色方框中的数值(63和92518271)
winhex数据恢复完整图文教程
winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
几种常用的数据加密技术
《Network Security Technology》Experiment Guide Encryption Algorithm Lecture Code: 011184 Experiment Title:加密算法 KeyWords:MD5, PGP, RSA Lecturer:Dong Wang Time:Week 04 Location:Training Building 401 Teaching Audience:09Net1&2 October 10, 2011
实验目的: 1,通过对MD5加密和破解工具的使用,掌握MD5算法的作用并了解其安全性; 2,通过对PGP加密系统的使用,掌握PGP加密算法的作用并了解其安全性; 3,对比MD5和PGP两种加密算法,了解它们的优缺点,并总结对比方法。 实验环境: 2k3一台,XP一台,确保相互ping通; 实验工具:MD5V erify, MD5Crack, RSA-Tools,PGP8.1 MD5加密算法介绍 当前广泛存在有两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它将明文数据加密为密文数据,可以使用一定的算法将密文解密为明文。双向加密适合于隐秘通讯,比如,我们在网上购物的时候,需要向网站提交信用卡密码,我们当然不希望我们的数据直接在网上明文传送,因为这样很可能被别的用户“偷听”,我们希望我们的信用卡密码是通过加密以后,再在网络传送,这样,网站接受到我们的数据以后,通过解密算法就可以得到准确的信用卡账号。 单向加密刚好相反,只能对数据进行加密,也就是说,没有办法对加密以后的数据进行解密。这有什么用处?在实际中的一个应用就是数据库中的用户信息加密,当用户创建一个新的账号或者密码,他的信息不是直接保存到数据库,而是经过一次加密以后再保存,这样,即使这些信息被泄露,也不能立即理解这些信息的真正含义。 MD5就是采用单向加密的加密算法,对于MD5而言,有两个特性是很重要的,第一是任意两段明文数据,加密以后的密文不能是相同的;第二是任意一段明文数据,经过加密以后,其结果必须永远是不变的。前者的意思是不可能有任意两段明文加密以后得到相同的密文,后者的意思是如果我们加密特定的数据,得到的密文一定是相同的。不可恢复性是MD5算法的最大特点。 实验步骤- MD5加密与破解: 1,运行MD5Verify.exe,输入加密内容‘姓名(英字)’,生成MD5密文;
巧用WinHex找回消失的分区数据
巧用WinHex找回消失的分区数据 由于我是个对磁盘空间过敏的人,每当磁盘空间少到几百兆,就会想办法删掉不用的软件,时间一长,系统会变的千疮百孔,直到有一天实在无法忍受,决定重装系统,麻烦极了。与是想用Guest做个系统映象,没想到人世间最痛苦的事情发生了。 我有两个物理硬盘,主盘分了两个区,分别为一个C盘,一个E盘,所以把Guest这个软件放到第二个硬盘D盘的根目录下。重起进入DOS进入到软件的画面,不管三七二十一,玩玩再说。好奇的我直接选择第一项功能: To Disk,经过乱七八糟的英文提示后,毅然点了OK按扭,接下来两个硬盘开始狂响,我突然意识到事情不对,强行重起动后,打开资源管理器,点下D盘,发现已经空白一片了。天哪!我的软件!我的游戏!我的一切!我浑身冒汗,好像做梦一样,早知道……咦,对了!好像WinHex有打开磁盘的功能,只要知道一些文件的开头标记,兴许能恢复一些文件。 小提示:硬盘修复是一个高危险的操作,在https://www.360docs.net/doc/5e3418719.html,/YingJian/200808/107.ht m一文中介绍了硬盘主引导记录等多种不同故障的处理方法,希望对大家有所参考。 幸好WinHex装到C盘上了,启动后选“OpenDisk”打开D盘,在WinHex子窗口的表格内共有三个列,最左边的是偏移值,相当于行号;中间显示的是16进制代码,右边是每组代码对应显示的文字。因为无论是那种格式的文件开头都会有特定的标记,所以只要知道对应的代码就能知到文件的类型。由于我D盘上大部分是RAR压缩格式的文件,所以我先用WinRar创建一个RAR文件,再用WinHex打开,在右边开头显示出Rar!字样(图1),对应的16进制的值就是“52 61 72 21”,一同选中后按“Ctrl+Shift+C”把这串代码复制到剪贴板,然后切换到刚才打开D盘的窗口,依次选择“Search >> Find Hex Values”,按“Ctrl+V”或在输入框内点右键选择“粘贴”,确认无误后点“OK”开始搜索。 因为D盘容量是10GB,所以要经过漫长的等待。为了恢复文件,等他个一二天也值得。好在只用了5分钟的时间,便找到了第一个数值完全相同的一串代码,双击选种开头部分。 在此说明一下,有些软件在结尾也会有标记,比如ZIP格式,但RAR的结尾没有标记,这并不是件坏事,打个比方,一个RAR文件有300K大小,如果你选择的数值超过了300K而达到10M,那么用WinRar压时还可将原内容完整解压出来,只是在后面提示“非预期的压缩包结尾!”,你想一下,不可能多个RAR文件都会按顺序排列,中间可能会加入其它的文件,比如E XE文件,所以如果恢复的是RAR文件,选多点也无所谓,就怕选少了。所以下面我还要按F3键继续查找。
硬盘密码解密方法
盘密码的破解方法不管什么类型的笔记本电脑上的硬盘,其上存储的硬盘密码,都可以通过使用PC-3000这种工具进行破解。PC-3000是由俄罗斯著名硬盘实验室ACE Laboratory研究开发的商用专业修复硬盘综合工具,它能破解各种型号的硬盘专用CPU的指令集,解读各种硬盘的Firmware(固件),从而控制硬盘的内部工作,实现硬盘内部参数模块读写和硬盘程序模块的调用,最终达到以软件修复多种硬盘缺陷的目的。很多笔记本的硬盘密码使用用户输入的密码和主板序列号作加密运算后才作为硬盘密码的,这种密码处理方式导致在一台笔记本上加密的硬盘在其它笔记本上用相同的密码也是无法解密的。有些兼容机开放所有功能,有些则控制紧一点。比如DELL BIOS只支持HIGH模式,但是加密时是同时修改MASTER和HIGH 密码的;其中USER是用户输入+主板序列号,MASTER密码只用主板序列号,在你密码忘记时是可以找DELL要MASTER密码的。 1)、查看硬盘状态将被加密的硬盘接好,进入PC3000AT 主菜单界面,按下小键盘上的 DEL键可以看到该硬盘的当前参数表。翻页到最后一页,可以看到如下信息: password established:yes。此处若为yes, 即此盘被设定了口令;若为no, 即此盘未设口令。 HDD locked :yes。此处说明是否此盘已经被口令锁定。 Sequrity level:Maximal。此处说明口令锁定的安全级别。只有两种情况:high和 maximal。在high 级别,可以用Master password进行解锁,数据全部无损:在Maximal级别,不能用Master password直接解锁,而是用Erase命令对全部进行写零才能解锁,数据全部丢失。 Master code:$FFFE。此处若为$FFFE,即此盘的Master password还是出厂时的默认值;若为$0000,即说明此盘的Master password不是出厂时的默认值。 2)、一般解锁方法(1)、若知道用户原来设定的口令,可在PC-3000AT主菜单下按小键盘的6键(或右方向键),选择“Disk sequrity commands”下的“unlock disk”,输入正确口令,回车,若提示操作成功即为解锁成功;然后,再执行”Clear password”,便可完全清除用户设定的口令,此时数据无损。(2)、若不知道用户设定的口令,但Master password为$FFFE,且Sequrity level为 high,则解锁步骤同上。但输入密码时须选择Password type:master,并输入正确的Master password。Master password一般为主板的序列号,可向厂家索要。(3)、若不知道用户设定的口令,但Master password为$FFFE,且Sequrity level为 maximal,则应执行“Disk sequrity commands”下的“Set password”,输入正确的Master password,然后执行“Erase disk”。经过数十分钟的数据清除过程后,硬盘可恢复到可使用状态,但原有数据全部丢失。(4)、若不知道用户设定的口令也不知道Master password,则需要用特别的方法解除密码。 3)、特别解锁方法(1)、找一个与待解密盘相同型号,且Firmware版本一致的未加密的正常硬盘。(2)、用PC-3000中的“Set password”,设定一个简单易记的用户口令,如”123456”,断电再通电。(3)、用PC-3000AT中的“unlock disk”,故意输入一个错误的口令(如“abcd”),将会看到操作不成功的提示。此时,硬盘中保存正确密码的模块已经被系统自动读到硬盘线路板中的缓冲区了。(4)、用”sleep”使硬盘进入休眠状态,此时硬盘停转。(5)、小心拆下硬盘的电路板,换到待解锁的那个硬盘盘体,上好螺丝。这里是带电操作,要求非常小心!特别注意IDE接口和电源接口别松动。(6)、用“unlock disk”,输入前面自己设定的密码,如“123456”。如果提示操作成功,则继续下一个命令“clear password”,解锁过程完成。断电后后,换回原来使用的线路板。如果还不行的话话只能送蓝快了。应该不用换主板,把存密码那个芯片重新刷一遍就行了。去的时候记得带上证件能证明这台电脑是你的,不然不好办
Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南
Windows Server 2008 的 BitLocker 驱动器加密循序渐进指南更新时间: 2009年11月 应用到: Windows Server 2008, Windows Vista 此循序渐进指南提供了在测试实验室环境中设置 Windows(R) BitLocker(TM) 驱动器加密所需的说明。建议您在生产环境中不要使用本指南。在没有其他文档(列在其他资源部分中)的情况下,不一定必须使用循序渐进指南才能部署Windows Server? 2008 操作系统功能,应将其作为独立的文档谨慎使用。 什么是 BitLocker 驱动器加密? BitLocker 是客户端计算机的Windows Vista? Enterprise 和Windows Vista? Ultim ate 操作系统以及 Windows Server 2008 操作系统中可用的一项数据保护功能。BitLocker 提供增强的保护功能,防止数据偷窃或在丢失或被盗的计算机上公开,确保在受 BitLocker 保护的计算机解除授权时执行更安全的数据检测。 已丢失或已盗计算机上的数据容易受到未经授权的访问,方法是对该计算机运行软件攻击工具或者将该计算机的硬盘转移到另一台计算机。BitLocker 通过组合两个主要的数据保护步骤帮助减少在已丢失或已盗计算机上进行的未经授权的数据访问: ?加密硬盘上的整个 Windows 操作系统卷和数据卷。 BitLocker 对操作系统卷中的所有用户文件和系统文件(包括交换文件和休眠文件)进行加密,还可以对数据卷进行加密。 ?检查早期启动组件和启动配置数据的完整性。在装有受信任的平台模块 (TPM) 版本 1.2 的计算机上,BitLocker 利用 TPM 的增强安全性功能来帮助确保只有在计算机的启动组件未经改动且加密磁盘位于原始 计算机上时,才可以访问数据。 BitLocker 紧密集成到 Windows Vista 和 Windows Server 2008 中,且为企业提供便于管理和配置的增强的数据保护。例如,BitLocker 可以使用现有的 Active Directory 域服务 (AD DS) 基础结构远程存储 BitLocker 恢复密钥。BitLocker 还提供了一个恢复控制台,可用于启用未加入域的计算机或无法连接域(例如,字段中的计算机)的计算机的数据检索功能。 应使用 BitLocker 驱动器加密的用户 本指南主要供以下用户参考: ?评估产品的 IT 计划者和分析者 ?安全架构师 在本指南中 本指南的目的是帮助管理员熟悉 Windows Server 2008 的 BitLocker 驱动器加密功能。下面各部分提供管理员在自己的网络中配置和部署 BitLocker 所需的基本信息和步骤。 方案 1 提供有关创建 BitLocker 驱动器加密所需的两个分区的说明。方案 2 描述如何在服务器上安装 BitLocker。方案 3 说明了如何使用 BitLocker 和 TPM 对硬盘进行加密。方案 4 描述如何使用 BitLocker 对服务器上的数据卷
winhex恢复U盘分区
Winhex恢复U盘分区 你是否因为U盘提示格式化而为舍不得U盘里的重要数据感到舍不得呢?你是否因为没有正确使用U盘导致U盘数据丢失而后悔呢?你是否因为病毒如期U盘而烦恼呢?U盘在今天的非常普遍使用的,而使用的人群虽然很多,所以不会正确使用U盘的人群也越发多了起来。不正确的使用U盘会导致U盘损坏以至于U盘里的重要数据文件丢失。今天就来教大家怎样使用winhex软件恢复U盘的分区。 1.首先插入损坏的U盘(提示需要格式化,这里我们不能格式化,否则将无法找回数据) 2.使用winhex软件打开U盘的物理存储介质
3.查看错误位置(此处为U盘的分区表被破坏了,所以导致U盘需要格式化才能用) 4.查看U盘的引导扇区模板
5.根据引导扇区的模板看出此分区的起始扇区和结束扇区,然后通过计算器的程序员模式算出起始扇区和结束扇区的16进制数 1.打开winhex软件自带的计算器
2.点击查看》程序员 3.点击十进制》输入起始扇区号
4.点击十六进制》得出数值的十六进制数(NTFS格式需要在结束扇区上加一位数) 5.填写十六进制数时需要倒着填写[例如我们计算出的十六进制数为80 0 ,那 么填写到起始扇区的时候应填写为00 08 00 00 (起始扇区和结束扇区的位置需填写四个字节) ]
6.填写硬盘的分区表信息 1.跳转到U盘的0扇区(每个字节两位数) 2.0x01BE处写入80 3.0x01BF处写入00 4.0x01C0处写入00 5.0x01C1处写入00 6.0x01C2处写入硬盘的格式(NTFS:07 FAT32:0B exFAT:07) 7.0x01C3处写入FE 8.0x01C4处写入FF 9.0x01C5处写入FF 10.0x01C6至0x01C9处写入分区的起始扇区的十六进制数 11.0x01CA至0x01CD处写入分区的结束扇区的十六进制数 12.CTEL+S保存修改,之后重新拔插U盘即可
WINHEX-RAID0纯手工恢复加超详细讲解
WINHEX RAID修复 RAID0分析 关于RAID,大家可能有些陌生。在个人电脑上,RAID用的不多,但是windows XP支持跨区卷和带区卷。Windows server 2003支持跨区卷,带区卷,RAID-5等。对于RAID0的分析主要在于重组磁盘,重组磁盘就需要确定盘序,块大小,判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中,要如何确定上述参数呢?这个就要对文件系统有深入的了解,特别是NTFS文件系统,因为RAID基本都是采用NTFS文件系统,很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现,马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性,但是有些时候会出现找不到符合马老师给出的素材的情况,那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下,分析RAID了。这就要求我们对文件系统有深入的理解,特别是NTFS文件系统。好的,下面我就从组建一个RAID0开始,分析一下RAID0。希望能给大家带来一些启示。 这个是我在windows XP下虚拟出的三块磁盘,每块磁盘的大小都是200M三块磁盘做了一个RAID0 ,采用NTFS格式化。上图显示的三块磁盘的0号扇区,这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表,但是只占用了一个分区表项。。大家看下图
分区类型是0x42 起始于63号扇区,大小是0x9A 20 06 00 也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD, RAID0, RAID1和RAID5。要组成这些阵列类型,我们需要把我们的磁盘转换成动态磁盘,而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分,一个是LDM分区区域,它占用磁盘的绝大部分,另一个就是动态磁盘的最后1MB,分配给LDM 数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区,分区类型就是0x42 而基本磁盘的分区我们就叫硬分区吧。好了,现在我们对组成RAID的磁盘有了一个基本的了解了,我们来总结一下 1.成员盘都是动态磁盘,windows操作系统有个叫LDM的管理它们。 2.LDM会在每个成员盘的最后1MB建立一个数据库,记录一些动态盘的信息,而且这个 数据库还有一个作用,当我们的成员盘被卸载了加载到其他机器上去之后,如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了,而数据不会丢失,这就方便了移植。 3.LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。 4.LDM数据库中包含四个区域,一个叫做LDM私有头,一个内容表区域,一个数据库 记录区和一个事物处理日志区。 5.软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。 好的,我们先看看是不是磁盘的最后1MB是数据库,看看数据库都写了些什么。1MB就是2048个扇区,我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就 是407553号扇区了。
使用 BitLocker 驱动器加密帮助保护文件
使用 BitLocker 驱动器加密帮助保护文件 你可以使用 BitLocker 驱动器加密帮助保护整个驱动器上的文件。BitLocker 有助于阻止黑客访问他们赖以找到密码的系统文件,或者阻止通过以物理方式从你的电脑中移除其中的驱动器并将其安装在其他电脑上来访问你的驱动器。你仍然可以照常登录到Windows 并使用你的文件。Windows8之家(https://www.360docs.net/doc/5e3418719.html,)整理自互联网和微软官方网站。 注意:若要加密各个文件,请使用 Windows 中的加密文件系统 (EFS) 启用 BitLocker 的步骤 警告:首次启用 BitLocker 时,请确保创建恢复密钥。否则,你可能会永久失去对文件的访问权限。 1.通过以下方式打开“BitLocker 驱动器加密”:从屏幕的右边缘向中间轻扫,点击“搜索”(如果使用鼠标,则指向屏幕的右上角,然后将指针向下移动,再单击“搜索”),在搜索框中输入 BitLocker,然后依次点击或单击“设置”和“BitLocker 驱动器加密”。 2.点击或单击“启用BitLocker”。系统可能要求你提供管理员密码或确认你的选择。 此时将打开“BitLocker 驱动器加密”设置向导。 3.按照向导中的说明进行操 禁用或临时挂起 BitLocker 的步骤 你可以临时挂起 BitLocker(例如,需要安装 BitLocker 可能会阻止的新软件时),然后在你准备好后恢复它。或者,你可以完全禁用 BitLocker,这样将解密驱动器,从而不再对它提供保护。 1.通过以下方式打开“BitLocker 驱动器加密”:从屏幕的右边缘向中间轻扫,点击“搜索”(如果使用鼠标,则指向屏幕的右上角,然后将指针向下移动,再单击“搜索”),在搜索框中输入 BitLocker,然后依次点击或单击“设置”和“BitLocker 驱动器加密”。 2.执行下列操作之一: 若要临时挂起 BitLocker,请点击或单击“挂起保护”。系统可能要求你提供管理员密码或确认你的选择。完成操作后,点击或单击“是”。
教你给移动硬盘进行加密的操作技巧
硬盘是电脑中比较重要的一个部件,大家都知道,我们内存的东西,大多数是保留在硬盘里。但是,大家对移动硬盘不知道了解多少?又是否知道给移动硬盘加设密码? 因为移动硬盘要经常在不同的电脑上使用,不小心就会感染到电脑里面的病毒,会造成移动硬盘里面的资料损毁或者丢失,同时如果再拿这个移动硬盘到其他的电脑使用的话,还可能会感染其他的电脑,使病毒木马继续传播开来,然而普通的杀毒软件很难去解决移动硬盘里面的病毒。那么我们如何确保移动硬盘的安全呢?win7之家小编给大家提供一个方案--给移动硬盘加密,阻断病毒木马入侵。 移动硬盘加密其实不难,只要稍做个设置就能实现。本文讲授的方法在NTFS 文件格式下如何对移动硬盘加密。 使用移动硬盘加密原理 NTFS和WinNT是一种非常安全可靠的高级文件系统。在各操作系统中,NTFS 还能实现文件和文件夹权限、加密、磁盘配额和压缩这样的功能。下文中就讲解如何利用NTFS提供加密功能及系统数字证书可以对资料进行加密。提高文件资料的安全性。 NTFS格式实现移动硬盘加密 把吧移动硬盘的分区格式设为NTFS,你就可以对分区内的所有文件进行EFS 加密。 具体的加密步骤:选定移动要加密的文件夹或者移动硬盘盘符,属性-常规-高级-勾“加密内容以便保护数据”复选框,确定-确定-确定,连续点确定三次就可以了,EFS加密操作很快的,这样在其它电脑上无法再访问了。 其操作流程如下图:
我们在这里用移动硬盘里的“BG”文件夹来做例子讲解。 如果看到像图三情况,在做操作后文件夹里的文件名字都变为绿色的了,就说明文件加密成功! 至此,当你的移动硬盘在别人的电脑上使用时,再也不用担心你所加密的小秘密就再不会被打开了。 但操作时如果看到出现以下情形,说明你的移动硬盘进行过写保护操作,这就需要去掉写保护,可以通过修改注册表去掉写保护,再将移动硬盘再重新连接上,再重复上面的操作就行了!
【加密】教你使用Win7--BitLocker加密功能
加密/解密方法: 在控制面板中点击【BitLocker驱动器加密】→【启用BitLocker】/【关闭BitLocker】→按提示操作 使用说明 1.加密后盘符会多了一把金色的锁,解密后金色的锁会变成银色。 2.本地磁盘加密后重启系统,就需要输入密码才能访问,再次访问就不需要输入密码了, 直到下次重启。 重插拔U盘后也需输入密码才能访问。 解锁再关闭后,就不可以再自动上锁了。 恢复分区的锁定:用管理员权限运行【CMD】,输入【manage-bde空格-lock S:】,其中S为要恢复锁定的分区名。 3.如果设置了【在此计算机上自动解锁此驱动器】,即使重启系统,重插拔U盘,在这台 电脑上,也不需要输入密码。(若要对固定数据驱动器 [如E盘] 设置自动解锁,必须先使用BitLocker对安装了WIN7的驱动器 [C盘] 进行加密;若对移动数据驱动器 [U 盘] 设置为自动解锁,就不用先对 [C盘] 进行加密) 4.加密后在X P系统只能以只读方式查看,但可复制文件至电脑。 加密后的U盘如果要在XP中使用的话,那么这个U盘的文件格式只能是FAT32,如果为NTFS格式,插入XP系统后会提示磁盘没有格式化。 5.【恢复密码文件】最好保存到非加密的分区文件中,不要保存在根目录下。 6.取消BitLocker加密的第二种方法:可以先对分区进行解密,然后把加密分区里面的 文件全部复制到另外一个没有加密的分区中,再对之前设置了加密的分区(包括U盘)进行格式化即可,可能耗时短一点。 7.怎样终止未完成的Bitlocker加密程序(谨慎操作) 在控制面板→【Bitlocker驱动器加密】界面中,如果该分区正在加密,加密的分区右边会有个【关闭Bitlocker】按钮,点击【关闭Bitlocker】→【解密驱动器】,加密中的硬盘会立即开始将已加密的部分开始解密,而且之前的加密窗口也立即变成了解密窗口。 8.如果忘记BitLocker加密的密码,可双击【该分区】→在【密码输入窗口】中点击【我
winhex恢复mbr的方法
winhex恢复mbr的方法 恢复mbr实际就是恢复主引导扇区,在出现开机自检过后,系统提示“I/O错误”,即使是你重新安装操作系统也没用。或系统启动蓝屏,将硬盘挂到其他计算机上,检测到的硬盘容量异常;譬如:明明是大容量硬盘,突然变成很小的容量,而且只有一个分区。很多人都认为该硬盘没救了,里面的数据也完了;其实,还是可以修好的,除硬件故障外恢复mbr后就会和以前一样好用。 那么什么是MBR,怎样恢复mbr。先说一下mbr:即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。 我们使用Winhex硬盘数据恢复软件来恢复MBR,并恢复数据的具体步骤:(再恢复前要用Winhex镜像文件《Winhex镜像文件教程》,这样可保证数据完好)。 第一步:把好硬盘上的MBR的前446字节复制到要恢复的硬盘的0扇区前446 字节; 第二步:在倒数第二行倒数第二个字节,输入活动分区8001,再输入本分区的起始磁头柱面0100; 第三步:输入分区类型0B FF FF FF . 第四步:输入C盘前的扇区数,实际就是MBR,63个扇区转换16进制是3F,在此位置输入3F 00 00 00; 第五步:搜索EBR起始位置,16进制查找“55AA”加条件512=510,EBR倒数第五行倒数第二个字节是0001,找到后记下所在扇区,然后减去MBR所占的扇区数63,转换16进制,跳转0扇区,输入相应位置; 第六步:输入分本区的起始位置和非活动分区的起始位置0001和0100; 第七步:输入分区类型10G以上的硬盘0F FE FF FF,10G以下的硬盘输入05 FE FF FF; 第八步:输入扩展分区前的扇区数,刚找到的EBR的起始位置,转换16进制输入相应位置; 第九步:扩展分区的扇区数,左下角的总扇区数-ERR之前的扇区数,转换16进制输入相应位置; 第十步:以下全部填充0,结束必须为55AA保存退出,这样恢复mbr完成。
BitLocker加密功能教程
Win7的新功能—BitLocker加密功能的使用方法 注:win7系统中只有旗舰版的才有bitlocker加密功能 首先可以在windows7操作系统的控制面板中找到“BitLocker驱动器加密”(英文版windows7系统中对应“BitLocker Drive Encryption”)选项,点击进入可以看到当前电脑的所有磁盘。 想要加密哪一个驱动器就选择其右侧的“启用BitLocker”按钮,紧接着按照提示一步步操作即可完成加密过程。 加密本地磁盘保护数据安全操作简单。 点击“启用BitLo cker”按钮之后,你将要在新弹出的窗口中设置加密驱动器密码,输入完成后点“下一步”然后选择保存密钥的地方。
一般说来存放在USB闪存驱动器中安全系数最高,因为那样的话,加密驱动器与密码分离保管,就算其他人获得了其中一样也无法打开你加密的磁盘。备份好自己密钥之后,就不会有遗忘的后顾之忧了,马上动手加密吧! 注:这个加密过程时间比较长,需耐心等待!
加密完成之后可以在控制面板窗口中看到原先的磁盘图标上多了一把锁,此时表示驱动器已经加密完成。对于本地各驱动器的加密非常简单,该功能在之前的Vista系统中也就开始提供,windows7操作系统中BitLocker To Go功能专门用于加密移动存储设备如U盘,移动硬盘等,究竟是不是也如上面加密本地驱动器一般简单,仔细往下看。 Win7新功能加密U盘移动硬盘同样方便 插入一个U盘之后,可以马上在控制面板中原来的BitLocker窗口下看到多出的“BitLocker To Go”这项功能,同样方法点击“启用BitLocker”功能; 另外打开计算机驱动器管理窗口,鼠标右键点击U盘同样可以启用BitLocker功能,所以开