-FVE-FS-

Wykryc Bitlockera jest prosto. Wystarczy w panelu sterowania spojrzec czy pojawia sie stowna ikonka (z podpisem BitLocker Drive Encryption). Tyle, ze ta metoda jest przeznaczona dla bardzo poczatkujacych uzytkowników.

Wprawniejsi uzyja polecenia cscript.exe manage-bde.wsf -status

Dla jeszcze lepszych mozna polecic Win32_EncryptableVolume.GetEncryptionMethod()

Wszystkie te trzy metody dzialaja swietnie i daja sie stosowac w praktyce, ale maja jedna powazna ulomnosc: wymagaja Windows Vista. Tymczasem zdarza sie przekladac dyski z systemu do systemu, siegac do dysków Visty z rozmaitych unixów, dosa czy chocby WindowsXP. Standardowy komunikat systemu który nie zna BitLockera jest prosty: ten dysk nie da sie odczytac. Czy dysk jest nieczytelny bo sie zepsul? czy ma jakis dziwaczny filesystem? czy po prostu jest zaszyfrowany? Tego juz ani WindowsXP ani linux nie zdradzi.

Tymczasem do takiej informacji mozna dotrzec! Wystarczy wiedziec, ze kazdy wolumen logiczny reprezentowany jest przez Bios Parameter Block (BPB) zajmujacy pierwsze 54 bajty pierwszego sektora. Osiem bajtów BPB pod offsetem 0x003 zajmuje tak zwana sygnatura. W przypadku dysków zaszyfrowanych przez BitLocker, w sygnaturze zapisane jest "-FVE-FS-".

Informacja ta nieprzydatna jest dla przecietnego uzytkownika GUI. Ale jezeli ktos ma kilka systemów, czasem recznie zmienia sektory na dyskach i wie, co to jest klaster, MFT albo jednostka alokacji - znajomosc sygnatury "-FVE-FS-" pozwoli uniknac paru przykrych bledów.

Autor: Grzegorz Tworek