访问时移除了 BitLocker USB 驱动器，文件系统已损坏，可以修复吗？

Question

（类似于：访问时删除了驱动器，文件系统已损坏，可以修复吗？，但增加了驱动器上的BitLocker 的复杂性...）

您好，我在使用启用了 BitLocker 加密的 8GB PNY Attaché USB 2.0 记忆棒时遇到了以下问题。

上周，我急于下班赶上火车，所以我尝试在 Windows 7 笔记本电脑上“安全删除硬件并弹出媒体”，同时我仍在使用 DjVu 访问上述驱动器。如果我没记错的话，我确实关闭了应用程序，在查看了建议我不要移除 USB 的警告后，当我关闭工作笔记本电脑时，我移除了驱动器。显然，这就是发生的事情（根据事件查看器日志条目）：

Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.

DETAIL -
8 user registry handles leaked from \Registry\User\:
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings\UNIV
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults
Process 1268 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 1268 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\NamedSettings
Process 4224 (\Device\HarddiskVolume2\Windows\System32\wbem\WmiPrvSE.exe) has opened key \REGISTRY\USER\Software\Xerox\PrinterDriver\V5.0\ApplicationDefaults\UNIV
Device action request for device 'USB\VID_154B&PID_0048\AAAB025100000314' was vetoed by 'STORAGE\Volume\_??_USBSTOR#Disk&Ven_PNY&Prod_USB_2.0_FD&Rev_8192#AAAB025100000314&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}' with veto type 5.

第二天早上，我想从记忆棒上复制一些文件，并尝试在家里的 Windows 8.1 笔记本电脑上使用它；花了很长时间才打开通知我这是 BitLocker 加密的 USB 密钥的窗口，因此，我（愚蠢地）再次将其删除。

事件查看器条目如下：

The driver detected a controller error on \Device\Harddisk1\DR2.
The driver \Driver\WUDFRd failed to load for the device WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_PNY&PROD_USB_2.0_FD&REV_8192#AAAB025100000314&0#.

当我这样做的时候，窗户终于出现了一小会儿。当我重新插入它时，我看到了一个非常熟悉的可怕的“你需要格式化……”窗口。

当我点击“取消”时，我被告知“位置不可用”：磁盘管理也没有帮助——USB 现在是“RAW”

我使用了 repair-bde，这就是我想出的：

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>repair-bde G: F: -pw -F
BitLocker Drive Encryption: Repair Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume:
Beginning scan for BitLocker metadata.

Scanning boot sectors for pointer to metadata: 100%
Scanning sector boundaries for metadata: 100%
Finished scanning for BitLocker metadata.
LOG INFO: 0x0000002a
Valid metadata at offset 35762176 found at scan level 4.
LOG INFO: 0x0000002b
Successfully created repair context.
Beginning decryption.
Decrypting: 100% Complete.
Finished decryption.

ACTION REQUIRED: Run 'chkdsk F: /f' before viewing decrypted data.

C:\WINDOWS\system32>chkdsk F: /f
The type of the file system is NTFS.
The first NTFS boot sector is unreadable or corrupt.
Reading second NTFS boot sector instead.
Unable to determine volume version and state. CHKDSK aborted.

有趣的是，当我尝试使用“错误”的密码时，它会抱怨它（与 LOG INFO 有关系……）。使用带有“.img”文件的 repair-bde 也不起作用——尽管我没有看到任何警告或错误消息：

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>repair-bde G: F:\recover.img -pw -force
BitLocker Drive Encryption: Repair Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume:
Beginning scan for BitLocker metadata.

Scanning boot sectors for pointer to metadata: 100%
Scanning sector boundaries for metadata: 100%
Finished scanning for BitLocker metadata.
LOG INFO: 0x0000002a
Valid metadata at offset 35729920 found at scan level 4.
LOG INFO: 0x0000002b
Successfully created repair context.
Beginning decryption.
Decrypting: 100% Complete.
Finished decryption.

生成的 *.img 文件的大小为 7.46 GB（8,011,390,464 字节），但正如您可能猜到的，它无法使用 7-Zip、WinRar 或 Windows 资源管理器打开；这是一个损坏的存档。

我什至尝试在 Ubuntu 14.04 机器上使用 ddrescue 抢救磁盘内容（按照(iBoyd) 上的说明）» 从出现故障的 Bitlocker 硬盘驱动器中恢复数据- 也没有运气，尽管再一次，没有错误消息：

user@laptop:~$ sudo ddrescue /dev/sdc /dev/sdb ~/Downloads/rescue.log -r -1 -a 10000 -d --force
[sudo] password for user:


GNU ddrescue 1.17
Press Ctrl-C to interrupt
rescued: 8019 MB, errsize: 0 B, current rate: 21522 kB/s
ipos: 7356 MB, errors: 0, average rate: 4450 kB/s
opos: 7356 MB, time since last successful read: 0 s
Finished

然后我尝试了测试磁盘，但再次没有出现任何问题：

Sat May 3 00:28:38 2014
Command line: TestDisk

TestDisk 6.14, Data Recovery Utility, July 2013
Christophe GRENIER <grenier@cgsecurity.org>
CGSecurity - Data recovery: TestDisk & PhotoRec
OS: Linux, kernel 3.13.0-24-generic (#46-Ubuntu SMP Thu Apr 10 19:11:08 UTC 2014) x86_64
Compiler: GCC 4.8
Compilation date: 2013-10-29T01:29:29
ext2fs lib: 1.42.9, ntfs lib: libntfs-3g, reiserfs lib: none, ewf lib: none
/dev/sda: LBA, HPA, LBA48, DCO support
/dev/sda: size 976773168 sectors
/dev/sda: user_max 976773168 sectors
/dev/sda: native_max 976773168 sectors
/dev/sda: dco 976773168 sectors
Warning: can't get size for Disk /dev/mapper/control - 0 B - 1 sectors, sector size=512
Hard disk list
Disk /dev/sda - 500 GB / 465 GiB - CHS 60801 255 63, sector size=512 - Hitachi HTS725050A9A364,
Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63, sector size=512 - PNY USB 2.0 FD, FW:8192

Partition table type (auto): Intel
Disk /dev/sdb - 8019 MB / 7648 MiB - PNY USB 2.0 FD
Partition table type: Intel

Analyse Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63
Geometry from i386 MBR: head=255 sector=63
check_part_i386 failed for partition type 07
get_geometry_from_list_part_aux head=255 nbr=2
get_geometry_from_list_part_aux head=8 nbr=1
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=2
Current partition structure:
Invalid NTFS or EXFAT boot
1 * HPFS - NTFS 0 1 1 973 254 63 15647247
1 * HPFS - NTFS 0 1 1 973 254 63 15647247

search_part()
Disk /dev/sdb - 8019 MB / 7648 MiB - CHS 974 255 63

Results
Can't open backup.log file: No such file or directory
interface_load
Change partition type:
HPFS - NTFS 0 0 1 973 254 63 15647310

interface_write()

No partition found or selected for recovery
NTFS signature is missing.
NTFS signature is missing.
simulate write!

write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition

Interface Advanced
Geometry from i386 MBR: head=255 sector=63
check_part_i386 failed for partition type 07
get_geometry_from_list_part_aux head=255 nbr=2
get_geometry_from_list_part_aux head=8 nbr=1
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=2
1 * HPFS - NTFS 0 1 1 973 254 63 15647247

1 * HPFS - NTFS 0 1 1 973 254 63 15647247
Can't open filesystem. Filesystem seems damaged.
New options :
Dump : Yes
Align partition: Yes
Expert mode : Yes

TestDisk exited normally.

我已经尝试了许多商业软件包的演示/试用版，但没有成功。我还研究了 WinHex——与“健康”的启用 BitLocker 的 USB 密钥相比，它的输出看起来不太有希望。

我有机会挽救这个磁盘吗？非常感谢您的帮助！

Answer 1

我想这并不是一个真正的答案。但是，我希望它对其他人有帮助。

可悲的是，我认为您已经在使用加密驱动器（尤其是可移动驱动器）方面吸取了相当惨痛的教训。

所有加密驱动器（无论是否可移动）都对损坏问题更加敏感。这使得确保备份数据变得更加重要。显然，备份也需要加密，这意味着您应该保留多个备份副本。备份的实际最小值是三个。这些应该保存在不同的位置。

对于家庭使用，我将数据保存在本地 PC 上，复制到 NAS 上（NAS 驱动器数据在 NAS 内复制，虽然不是真正可靠的备份，但在本地磁盘出现故障时很方便），然后复制到安全的云备份，例如 CrashPlan。

任何形式的可移动介质都不能被认为是稳健的。基于闪存的记忆棒与任何其他可移动介质一样容易出现故障。我不知道确切的统计数据，但我自己的经验是，记忆棒与硬盘驱动器一样容易出现故障，而不是老式软盘。CD 和 DVD 的可靠性差异很大，有些在存储几年后就会出现故障，而另一些则可以持续十年或更长时间。

很抱歉缺乏真正的答案，但我认为这总是值得重复的，以便更多的人了解良好的备份过程的必要性。