BitLocker后门绕过只需把FsTx文件夹放U盘根目录\System Volume Information\文件夹里

sairen139

BitLocker被后门绕过只需把FsTx文件夹放FAT或NTFS格式的U盘根目录\System Volume Information\文件夹里是后门性质如第二次不生效了可再次解压放置第二遍
一个零日漏洞利用工具，允许能够物理接触Windows 11设备的人，在数秒内绕过系统默认的BitLocker保护，从而获得对加密驱动器的完整访问权限。
这一漏洞利用工具被命名为YellowKey，由一位网名为Nightmare-Eclipse的研究人员于本周早些时候公开发布。它能够可靠地绕过Windows 11系统默认部署的BitLocker保护机制。BitLocker是微软提供的全卷加密保护功能，其目的在于确保磁盘内容对任何没有解密密钥的人都不可访问，而该密钥存储在一块被称为可信平台模块（TPM）的安全硬件中。BitLocker对许多组织来说是强制性的安全保护措施，包括与政府机构签订合同的企业。
YellowKey漏洞利用的核心是一个自定义的FsTx文件夹。关于这个文件夹的在线文档极难查找。据后续分析解释，与fstx.dll文件关联的目录似乎涉及微软所称的"事务性NTFS"（Transactional NTFS），该机制允许开发人员在涉及单个文件、多个文件或跨多个来源的事务中，对文件操作实现"事务原子性"。
执行此绕过攻击的步骤相当简单：
将Nightmare-Eclipse漏洞页面中的自定义FsTx文件夹复制到一个格式为NTFS或FAT的U盘中；
将U盘连接到受BitLocker保护的设备上；
启动设备，并在启动时立即按住Ctrl键；
进入Windows恢复环境。
实现第三步至少有两种方式：一种是启动Windows后，按住Shift键，点击电源图标，再点击重启；另一种是在设备开机、Windows刚开始启动时立即重启设备。
无论采用哪种方式，最终都会出现一个命令提示符（CMD.EXE）窗口，且该窗口对整个驱动器内容具有完全访问权限，攻击者可借此复制、修改或删除文件。在正常的Windows恢复流程中，攻击者需要输入BitLocker恢复密钥，但YellowKey漏洞利用工具设法绕过了这一安全措施。包括Kevin Beaumont和Will Dormann在内的多位研究人员已证实，该漏洞利用工具的实际效果与上述描述一致。
目前尚不清楚自定义FsTx文件夹中的哪个部分导致了这一绕过。Dormann表示，这似乎与事务性NTFS有关，该机制本身在底层使用了命令日志文件系统。Dormann进一步指出，通过查看Windows的fstx.dll文件，可以发现代码中明确在FsTxFindSessions()函数里搜寻\System Volume Information\FsTx路径的逻辑。
YellowKey漏洞中所使用的FsTx目录内容，并未显示出任何与RecoverySimulation.ini相关的字符串，但确实包含了文件路径\??\C:\Windows\win.ini以及\??\X:\Windows\System32\winpeshl.ini，"其中X:\Windows\System32\winpeshl.ini正是控制Windows恢复环境（WinRE）启动时行为的文件。

这个后门的有趣之处在于一个卷上存在\System Volume Information\FsTx目录，在winre情境里会影响另一个卷的BitLocker内容。


Q&A
Q1：YellowKey漏洞是如何绕过BitLocker加密保护的？
A：YellowKey漏洞的核心是一个自定义的FsTx文件夹，将其复制到U盘后连接到受保护设备，在启动时按住Ctrl键进入Windows恢复环境，即可获得对整个驱动器的完整访问权限，无需输入BitLocker恢复密钥。研究人员推测这与事务性NTFS机制有关，但具体原因尚未完全明确。
Q2：使用YellowKey漏洞需要什么前提条件？
A：使用YellowKey漏洞需要能够物理接触到目标Windows 11设备，同时需要准备一个格式为NTFS或FAT的U盘，并将自定义FsTx文件夹复制到U盘中。整个攻击过程只需数秒即可完成，操作步骤相对简单，不需要专业的技术背景。
Q3：BitLocker的TPM保护机制为什么无法阻止YellowKey漏洞攻击？
A：正常情况下，BitLocker将解密密钥存储在TPM硬件中，进入Windows恢复环境需要输入恢复密钥。但YellowKey漏洞通过触发与事务性NTFS相关的特定机制，使系统在恢复环境中跳过了密钥验证环节，从而直接获得对加密驱动器的完整访问权限。具体的绕过原理目前仍在研究人员的调查中。

sairen139

对自动解锁的bl锁有效，似乎对密码的bl锁无效

触发漏洞
将制作好的U盘插入目标 Windows 11/Server 2022/2025 设备，然后选择以下任一方法触发：

方法A（推荐）
按住键盘上的 Shift 键，用鼠标点击“开始 → 电源 → 重启”。
点击“重启”后 立即松开 Shift 键，并 迅速按住 Ctrl 键不放，直到屏幕出现 WinRE 蓝屏菜单。
方法B（备用）
开机后，在 Windows 徽标出现前 手动强制重启（例如长按电源键）。
重启的同时 按住 Ctrl 键不放，直到进入 WinRE。

获得 Shell
如果触发成功，系统会直接弹出 命令提示符（CMD）窗口，该窗口拥有 SYSTEM 级别权限，并且已经能够访问 BitLocker 加密的 C 盘（例如 C: 盘已被自动解密挂载）。

此时可以执行任意操作，例如：

diskpart – 挂载其他分区
copy / xcopy / robocopy – 复制任意文件
net user hacker P@ssw0rd /add – 添加本地管理员账户

注意事项
成功率：并非每次都能成功。若失败，建议格式化U盘并重新复制 FsTx 文件夹后重试。
无U盘变体：若无法使用U盘，可将 FsTx 文件夹写入目标磁盘的 EFI 系统分区（前提是能短暂取出磁盘进行写入），同样可触发漏洞。
痕迹清除：利用成功后U盘上的 FsTx 文件夹会被自动删除，难以追踪。


验证有效性

多名安全专家已独立验证该漏洞：

Will Dormann（Mastodon）：“能够通过插入USB驱动器完美复现 YellowKey。”
Kevin Beaumont：“在标准 Windows 11 24H2 设备上测试成功，BitLocker 加密被完全绕过。”

zts59

如果一个只读的U盘，有这个样一个文件夹呢？多次使用？

sairen139

zts59 发表于 2026-5-22 15:43
如果一个只读的U盘，有这个样一个文件夹呢？多次使用？

你可以测试一下只读的情况

martin313

又来忽忽了
俺不上当折腾这玩意

进士小站

磁盘 BitLocker 始终开放，免得哪天解不开，麻烦

zts59

sairen139 发表于 2026-5-22 15:50
你可以测试一下只读的情况

我本身就有一个带只读开关的U盘，但是其中有个步骤有疑问：按SHIFT重启，进入的是不是winre？

sairen139

zts59 发表于 2026-5-22 16:03
我本身就有一个带只读开关的U盘，但是其中有个步骤有疑问：按SHIFT重启，进入的是不是winre？ ...

是windows11里按住shift键的时候去点开始菜单那个重启按钮，然后按Ctrl键进winre的CMD黑色命令窗口

a66

BitLocker被后门绕过

yyz219195888

不折腾这玩意

2012andyle113

真的能绕过？

freesoft00

如果是一个vhd文件，加密了忘记密码了。这个就无法破解了吧。看这个需要进入Windows恢复环境

yirongyi

试试怎么绕~ 常在河边走

itellyou

github已删库

ebaqiang

不怎么看得明白

ybshfhllj

一朋友的电脑，他的一个文件夹不知道怎么回事里面的很多word文档，图片都变成带锁的了。他说是装了个什么软件以后就这样子了。查了一下，知道是bitlocker 加密了。正好看到楼主这样的文章，我也试了一下，没有成功，难道一定要装个win11的系统吗？而且他的不是整个分区加密，而是一个文件夹里面的，大部分文件是这种情况。已经重装了系统，没有备份密钥。还有没有别的办法？现在这些加密的文件是不能复制，不能压缩，不能移动更不能删除了

二零

ybshfhllj 发表于 2026-5-25 09:44
一朋友的电脑，他的一个文件夹不知道怎么回事里面的很多word文档，图片都变成带锁的了。他说是装了个什么软 ...

这个是EFS加密

j4tan

想知道有人测试过吗？真的可以绕过？

我真的不是毁灭菇

2012andyle113 发表于 2026-5-22 18:10
真的能绕过？

真的能绕过
有人在B站试过，可行

ybshfhllj

二零 发表于 2026-5-25 15:04
这个是EFS加密

我知道，问题是现在看看楼主的这个方法能不能解开，所以今天下午又试了一下，用win11的系统，不是了就是，还是没有激活那个 CMD的窗口弹出来