Unidade USB do BitLocker removida durante o acesso, o sistema de arquivos está corrompido, pode ser corrigido?

6

(Semelhante a: Drive removido durante o acesso, sistema de arquivos está corrompido, pode ser corrigido? , mas com a complexidade adicional que a unidade tinha BitLocker em ...)

Oi, estou enfrentando o seguinte problema com um stick USB 2.0 PNY Attaché de 8GB que tinha a criptografia do BitLocker ativada.

Na semana passada, eu estava com pressa de sair do trabalho e pegar meu trem, então tentei "Remover hardware e ejetar mídia com segurança" em um laptop com Windows 7 enquanto ainda estava acessando a unidade mencionada acima com o DjVu. Se bem me lembro, fechei o aplicativo, após visualizar o aviso me avisando sobre a remoção do USB, e enquanto desligava o laptop de trabalho, removi o drive. Aparentemente, isso é o que aconteceu (de acordo com as entradas de log do visualizador de eventos):

Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.

DETAIL -
8 user registry handles leaked from \Registry\User\:
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings\UNIV
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults
Process 1268 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 1268 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults\UNIV
Device action request for device 'USB\VID_154B&PID_0048\AAAB025100000314' was vetoed by 'STORAGE\Volume\_??_USBSTOR#Disk&Ven_PNY&Prod_USB_2.0_FD&Rev_8192#AAAB025100000314&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}' with veto type 5.

Na manhã seguinte, eu queria copiar alguns arquivos do aparelho e tentei usá-lo no meu laptop com Windows 8.1 em casa; demorou muito tempo para abrir a janela informando que era como uma chave USB criptografada pelo BitLocker, então, novamente, eu (estupidamente) a removi.

As entradas do visualizador de eventos foram as seguintes:

The driver detected a controller error on \Device\Harddisk1\DR2.
The driver \Driver\WUDFRd failed to load for the device WpdBusEnumRoot\UMB&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_PNY&PROD_USB_2.0_FD&REV_8192#AAAB025100000314&0#.

Enquanto eu fazia isso, a janela finalmente surgiu por um breve instante. Quando eu reinseri-lo, eu tenho o muito familiar temido "Você precisa formatar ..." janela.

Quando clicamos em "Cancelar", fui informado de que "o local não está disponível": O Gerenciamento de disco também não ajudou - o USB agora é "RAW"

Eu usei o repair-bde e é isso que eu criei:

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>repair-bde G: F: -pw -F
BitLocker Drive Encryption: Repair Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume:
Beginning scan for BitLocker metadata.

Scanning boot sectors for pointer to metadata: 100%
Scanning sector boundaries for metadata: 100%
Finished scanning for BitLocker metadata.
LOG INFO: 0x0000002a
Valid metadata at offset 35762176 found at scan level 4.
LOG INFO: 0x0000002b
Successfully created repair context.
Beginning decryption.
Decrypting: 100% Complete.
Finished decryption.

ACTION REQUIRED: Run 'chkdsk F: /f' before viewing decrypted data.

C:\WINDOWS\system32>chkdsk F: /f
The type of the file system is NTFS.
The first NTFS boot sector is unreadable or corrupt.
Reading second NTFS boot sector instead.
Unable to determine volume version and state. CHKDSK aborted.

Curiosamente, quando tento usar uma senha "errada", ela reclamou (algo a ver com a LOG INFO ...). O uso do repair-bde com um arquivo ".img" também não funcionou - embora eu não tenha visto nenhum aviso ou mensagem de erro:

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>repair-bde G: F:\recover.img -pw -force
BitLocker Drive Encryption: Repair Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume:
Beginning scan for BitLocker metadata.

Scanning boot sectors for pointer to metadata: 100%
Scanning sector boundaries for metadata: 100%
Finished scanning for BitLocker metadata.
LOG INFO: 0x0000002a
Valid metadata at offset 35729920 found at scan level 4.
LOG INFO: 0x0000002b
Successfully created repair context.
Beginning decryption.
Decrypting: 100% Complete.
Finished decryption.

O tamanho do arquivo * .img resultante é de 7,46 GB (8,011,390,464 bytes), mas como você provavelmente adivinhou, ele não abre com o 7-Zip, WinRar ou, é claro, com o Windows Explorer; é um arquivo corrompido.

Eu até tentei salvar o conteúdo do disco usando um ddrescue em uma máquina Ubuntu 14.04 (conforme as instruções em (iBoyd)" Recuperando Dados de um Disco Rígido de Bitlocker em Falha - sem sorte, embora, mais uma vez, não houve mensagens de erro:

user@laptop:~$ sudo ddrescue /dev/sdc /dev/sdb ~/Downloads/rescue.log -r -1 -a 10000 -d --force
[sudo] password for user:


GNU ddrescue 1.17
Press Ctrl-C to interrupt
rescued: 8019 MB, errsize: 0 B, current rate: 21522 kB/s
ipos: 7356 MB, errors: 0, average rate: 4450 kB/s
opos: 7356 MB, time since last successful read: 0 s
Finished

Eu tentei testar disco, mas, mais uma vez, nada apareceu:

Sat May 3 00:28:38 2014
Command line: TestDisk

TestDisk 6.14, Data Recovery Utility, July 2013
Christophe GRENIER <[email protected]>
CGSecurity - Data recovery: TestDisk & PhotoRec
OS: Linux, kernel 3.13.0-24-generic (#46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014) x86_64
Compiler: GCC 4.8
Compilation date: 2013-10-29T01:29:29
ext2fs lib: 1.42.9, ntfs lib: libntfs-3g, reiserfs lib: none, ewf lib: none
/dev/sda: LBA, HPA, LBA48, DCO support
/dev/sda: size 976773168 sectors
/dev/sda: user_max 976773168 sectors
/dev/sda: native_max 976773168 sectors
/dev/sda: dco 976773168 sectors
Warning: can't get size for Disk /dev/mapper/control - 0 B - 1 sectors, sector size=512
Hard disk list
Disk /dev/sda - 500 GB / 465 GiB - CHS 60801 255 63, sector size=512 - Hitachi HTS725050A9A364,
Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63, sector size=512 - PNY USB 2.0 FD, FW:8192

Partition table type (auto): Intel
Disk /dev/sdb - 8019 MB / 7648 MiB - PNY USB 2.0 FD
Partition table type: Intel

Analyse Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63
Geometry from i386 MBR: head=255 sector=63
check_part_i386 failed for partition type 07
get_geometry_from_list_part_aux head=255 nbr=2
get_geometry_from_list_part_aux head=8 nbr=1
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=2
Current partition structure:
Invalid NTFS or EXFAT boot
1 * HPFS - NTFS 0 1 1 973 254 63 15647247
1 * HPFS - NTFS 0 1 1 973 254 63 15647247

search_part()
Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63

Results
Can't open backup.log file: No such file or directory
interface_load
Change partition type:
HPFS - NTFS 0 0 1 973 254 63 15647310

interface_write()

No partition found or selected for recovery
NTFS signature is missing.
NTFS signature is missing.
simulate write!

write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition

Interface Advanced
Geometry from i386 MBR: head=255 sector=63
check_part_i386 failed for partition type 07
get_geometry_from_list_part_aux head=255 nbr=2
get_geometry_from_list_part_aux head=8 nbr=1
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=2
1 * HPFS - NTFS 0 1 1 973 254 63 15647247

1 * HPFS - NTFS 0 1 1 973 254 63 15647247
Can't open filesystem. Filesystem seems damaged.
New options :
Dump : Yes
Align partition: Yes
Expert mode : Yes

TestDisk exited normally.

Eu tentei várias versões de demonstração / teste de pacotes comerciais, mas sem sucesso. Também observei o WinHex - cuja saída não pareceu muito promissora quando comparada a uma chave USB habilitada para BitLocker "saudável".

Alguma chance de salvar este disco? Muito obrigado antecipadamente pela sua ajuda!

    
por jdm43 03.05.2014 / 17:38

1 resposta

1

Eu acho que isso não é realmente uma resposta. No entanto, espero que seja útil para os outros.

Infelizmente, acho que você aprendeu uma lição bastante dura sobre o uso de unidades criptografadas, especialmente as removíveis.

Todas as unidades criptografadas, removíveis ou não, são mais sensíveis a problemas de corrupção. Isso torna ainda mais importante garantir que você tenha os dados armazenados em backup. Claramente, o backup também precisa ser criptografado e, novamente, isso significa que você deve manter várias cópias de backups. O mínimo realista para backups é TRÊS. Estes devem ser mantidos em locais diferentes.

Para uso doméstico, mantenho os dados em PCs locais, copiados no NAS (os dados da unidade NAS são duplicados no NAS, não são realmente um backup robusto mas conveniente se um disco local falhar) e copiados para um backup na nuvem seguro como CrashPlan.

Nenhuma forma de mídia removível pode ser considerada robusta. Os cartões de memória baseados em Flash são tão vulneráveis quanto qualquer outra mídia removível. Eu não sei quais são as estatísticas exatas, mas minha própria experiência é que um cartão de memória tem a mesma probabilidade de falhar como um disco rígido, muito menos do que um disquete antigo. CDs e DVDs são muito variáveis em sua confiabilidade, com alguns falhando após alguns anos de armazenamento, outros durando uma década ou mais.

Sinto muito pela falta de uma resposta real, mas acho que isso sempre vale a pena repetir para que mais pessoas entendam a necessidade de bons processos de backup.

    
por 04.05.2014 / 18:45