Wykryć Bitlockera jest prosto. Wystarczy w panelu sterowania spojrzeć czy pojawia się stowna ikonka (z podpisem BitLocker Drive Encryption). Tyle, że ta metoda jest przeznaczona dla bardzo początkujących uzytkowników.

Wprawniejsi użyją polecenia cscript.exe manage-bde.wsf -status

Dla jeszcze lepszych można polecić Win32_EncryptableVolume.GetEncryptionMethod()

Wszystkie te trzy metody działają świetnie i dają się stosować w praktyce, ale mają jedną poważną ułomność: wymagają Windows Vista. Tymczasem zdarza się przekładać dyski z systemu do systemu, sięgać do dysków Visty z rozmaitych unixów, dosa czy choćby WindowsXP. Standardowy komunikat systemu który nie zna BitLockera jest prosty: ten dysk nie da się odczytać. Czy dysk jest nieczytelny bo się zepsuł? czy ma jakiś dziwaczny filesystem? czy po prostu jest zaszyfrowany? Tego już ani WindowsXP ani linux nie zdradzi.

Tymczasem do takiej informacji można dotrzeć! Wystarczy wiedzieć, że każdy wolumen logiczny reprezentowany jest przez Bios Parameter Block (BPB) zajmujący pierwsze 54 bajty pierwszego sektora. Osiem bajtów BPB pod offsetem 0x003 zajmuje tak zwana sygnatura. W przypadku dysków zaszyfrowanych przez BitLocker, w sygnaturze zapisane jest "-FVE-FS-".

Informacja ta nieprzydatna jest dla przeciętnego użytkownika GUI. Ale jeżeli ktoś ma kilka systemów, czasem ręcznie zmienia sektory na dyskach i wie, co to jest klaster, MFT albo jednostka alokacji - znajomość sygnatury "-FVE-FS-" pozwoli uniknąć paru przykrych błędów.

Autor: Grzegorz Tworek