BitLocker 绕过漏洞分析：WinRE 与 TxF 到底出了什么问题？

**2026年5月12日，安全研究员Nightmare‑Eclipse公开了一个名为YellowKey的漏洞，声称用一个U盘和几个文件就能轻松绕过Windows 11的BitLocker加密。该漏洞仅影响Windows 11及对应的Server 2022/2025，Windows 10不受影响。** #### 补充知识 ##### 1. Bitlocker有双重验校 重启电脑后一般Bitlocker有双重验校：①TPM自动验证启动环境，防止硬盘被拆到别的电脑上读取，或者使用第三方的WinPE等其他环境的变化。而WinRE是系统自带的，它属于可信任环节。②在WinRE（系统恢复环境）里想进行敏感操作（比如打开CMD）时，它会强制要求你输入那串48位的恢复密钥。这就像你撬开了保险库的大门（TPM环境锁），但里面还有个需要密码的小保险箱（WinRE用户锁）。 **（此段摘自知己知彼）** **BitLocker的“双层信任链”** | 层级 | 作用 | 防什么 | | ----------------- | ---------- | ---------------- | | TPM + Secure Boot | 验证机器/启动链 | 防拆盘、防PE、防Bootkit | | Recovery Key | 验证“是不是你本人” | 防恢复环境被滥用| ##### 2. WinRE 为什么会被信任 WinRE（Windows Recovery Environment，Windows恢复环境）是 Windows 自带的一套“紧急维修系统”。 在微软设定中WinRE 处于Secure Boot 信任链内，微软的在启用BitLocker 后会向磁盘写Recovery Key 在使用winRE环境下此KEY会被默认释放 跳过TPM安全环境检测 #### 这个破解文件制作步骤 首先在U盘的“根目录\System Volume Information\FsTx”路径下放入一个特制文件（事务日志），当U盘插入电脑并重启，这时会顺利进入WinRE环境。WinRE在加载配置文件的同时，系统中的一个古老的组件“事务性NTFS（TxF）”会自动扫描所有连接的磁盘（包括U盘），寻找FsTx路径并执行其中的日志。前面U盘中放的这个日志文件，就是执行一条指令：删除WinRE的配置文件winpeshl.ini。TxF无条件执行了该指令，配置文件丢失后，WinRE的启动程序进入应急模式——直接弹出一个拥有SYSTEM最高权限的命令提示符窗口，完全跳过了输入48位恢复密钥的环节。此时硬盘早已被TPM自动解密，攻击者可通过该命令行窗口任意读写所有数据。 #### 文件下载 [📎 YellowKey.zip](/uploads/files/20260529_222034_6a19a0b2271dd.zip) 注:请勿用作违法用途