Apakah Bitlocker mendekripsi data yang tidak terisi?

Hal pertama yang pertama, saya TIDAK berbicara tentang enkripsi drive penuh . Bitlocker memiliki fitur untuk mengenkripsi ruang yang digunakan saja. Saya berbicara tentang ini.

Apakah Bitlocker menghapus enkripsi data yang tidak terisi yang dihasilkan dari penghapusan file?

Tebak Saya: Tidak. Karena dapat menimbulkan risiko keamanan data. Mohon konfirmasi.
Jika tebakan saya benar, apakah Bitlocker juga mendekripsi data yang tidak dialokasikan setelah saya membuka kunci drive? Saya ingin tahu apakah saya dapat memulihkan data yang dihapus dari drive tidak terkunci atau tidak. Saya tidak yakin tentang hal positif karena kinerja adalah moto utama dari opsi ini (hanya mengenkripsi ruang yang digunakan).

Pertanyaan ini dari artikel TechNet ini membantu menjernihkan pertanyaan ini:

Apakah BitLocker mengenkripsi dan mendekripsi seluruh drive sekaligus ketika membaca dan menulis data?

Tidak, BitLocker tidak mengenkripsi dan mendekripsi seluruh drive saat membaca dan menulis data. Sektor terenkripsi dalam drive yang dilindungi BitLocker didekripsi hanya karena diminta dari operasi pembacaan sistem. Blok yang ditulis ke drive dienkripsi sebelum sistem menulisnya ke disk fisik. Tidak ada data yang tidak terenkripsi yang pernah disimpan pada drive yang dilindungi BitLocker.

Apa artinya ini sehubungan dengan pertanyaan Anda adalah ini:

• Jika Anda sudah memiliki atau memiliki data sensitif pada drive, disarankan untuk melakukan enkripsi drive penuh karena ini akan memastikan data yang sebelumnya dihapus juga dienkripsi.
• Jika disk "bersih" dari informasi sensitif, Anda dapat menggunakan opsi hanya ruang yang digunakan. Semua data masa depan yang ditulis ke disk dienkripsi, dan jadi jika setelah menggunakan opsi ini Anda kemudian menghapus informasi sensitif, itu masih dienkripsi di drive.

Adapun untuk memulihkan data dari drive yang tidak terkunci, aplikasi yang melakukan ini harus melihat data seperti yang mereka lakukan untuk drive normal ketika panggilan mereka dicegat oleh BitLocker, yang menangani enkripsi / dekripsi secara blok-demi-blok.

Saya ingin tahu apakah saya dapat memulihkan data yang dihapus dari drive tidak terkunci atau tidak.

Saya telah melakukan ini dalam 48 jam terakhir karena saya memiliki daya padam dan kehilangan akses ke partisi terenkripsi. Itu tidak akan menerima kata sandi.

Saya menggunakan WinHex untuk mengkloning partisi terenkripsi ke drive lain sehingga "saya" bisa menyerangnya dan kemudian mengatur Passware Kit Forensic longgar di atasnya. Butuh waktu 6 jam tetapi kembali dengan kata sandi sampah yang saya yakin tidak akan berhasil tetapi ternyata berhasil. Jadi saya bisa mendekripsi partisi.

Saya tidak dapat menemukan apa yang saya cari di file langsung, jadi saya kemudian menggunakan NTFSUndelete untuk mencari melalui area file yang dihapus dari partisi yang retak dan dienkripsi sebelumnya.

Walaupun saya masih tidak dapat menemukan yang saya cari (saya curiga sekarang tidak pernah ada pada drive ini), saya dapat menarik file lama dan yang sebelumnya dihapus dari partisi. Proses enkripsi tidak mengubah data menjadi string / data biner yang tidak berarti, jika itu yang Anda khawatirkan / harapkan.

Anda dapat menarik file yang dihapus dari volume yang sebelumnya dienkripsi dengan BitLocker. (Menangkan 7 Ult) Apakah ini berlaku di masing-masing dan setiap kasus saya jelas tidak bisa mengatakan tetapi itu tidak sepenuhnya mustahil.