YellowKey：Windows 11 BitLocker 加密绕过漏洞深度解析

📅 2026年05月18日 · 技术

引言

BitLocker 是微软 Windows 系统中内置的全盘加密功能，被数百万用户和企业信赖，用于保护敏感数据。但当一个仅需 USB 存储设备 + 几个简单步骤就能绕过 BitLocker 保护的漏洞被公开时，整个安全社区都为之震惊。这就是 YellowKey——一个由安全研究员 Nightmare-Eclipse 发现并公开的 Windows 11 BitLocker 绕过漏洞。

项目介绍

YellowKey 是一个概念验证（PoC）项目，展示了如何利用 Windows 恢复环境（WinRE）中的一个特殊组件来绕过 BitLocker 加密保护。研究员在项目描述中直言："这几乎感觉像是一个后门"，因为这个存在漏洞的组件在普通的 Windows 安装中具备相同名称却没有触发漏洞的功能，而仅在 WinRE 镜像中才会激活绕过行为。

漏洞的影响范围覆盖 Windows 11、Windows Server 2022 和 Windows Server 2025，而 Windows 10 不受影响，这一差异本身就更增添了争议性。

漏洞原理

YellowKey 的利用过程异常简单，甚至可以说是"便利"：

1. 准备阶段：将项目中的 FsTx 文件夹复制到 USB 存储设备的 System Volume Information\FsTx 路径下，推荐使用 NTFS 文件系统
2. 触发阶段：将 U 盘插入目标 Windows 11 计算机（BitLocker 已启用）
3. 重启进入 WinRE：按住 Shift 键点击重启按钮，进入 Windows 恢复环境
4. 关键操作：点击重启后松开 Shift 键，立即按住 Ctrl 键不放
5. 获取 Shell：如果操作正确，系统将以不受限制的权限打开一个命令行 Shell，可以直接访问 BitLocker 加密卷中的文件

更令人担忧的是，攻击者甚至不需要物理插入外部设备——可以拆下硬盘，在 EFI 分区中复制文件，再装回计算机，漏洞依然生效。

为什么这像是后门？

研究员的质疑基于以下几点：

• 触发漏洞所需的组件 不存在于公开的任何地方（包括互联网），仅在 WinRE 镜像中存在
• 普通 Windows 安装中存在同名组件，但不具备触发漏洞的功能
• 漏洞仅影响 Windows 11/Server 2022/2025，Windows 10 不受影响
• 利用过程极其"便利"——不需要复杂的漏洞链或内核级攻击

这些特征让安全研究员有理由怀疑这是一个故意植入的功能，而非无心之失的安全性错误。

适用人群与安全建议

安全研究者：YellowKey 是研究 BitLocker 安全机制的绝佳案例，展示了全盘加密在特定条件下的脆弱性。

系统管理员：应密切关注微软官方补丁，并及时更新 Windows 系统。同时加强物理安全管控，限制对设备 USB 接口和 EFI 分区的未授权访问。

普通用户：不必过度恐慌。此漏洞需要物理访问计算机，远程攻击者无法利用。但仍应保持系统更新，并为重要数据添加额外保护层。

快速上手（安全测试环境）

如果你需要在隔离的实验环境中复现此漏洞：

1. 准备一台安装 Windows 11 且启用 BitLocker 的测试虚拟机
2. 从 GitHub 克隆项目：git clone https://github.com/Nightmare-Eclipse/YellowKey
3. 将 FsTx 文件夹按说明复制到 U 盘对应路径
4. 按照上述步骤触发漏洞

注意：仅在你有权测试的系统上使用，未经授权访问他人加密数据是违法行为。

总结

YellowKey 揭示了操作系统安全设计中一个令人不安的事实：即使是最受信赖的加密方案，也可能因一个底层组件的特殊行为而被完全绕过。这不仅仅是一个技术漏洞，更引发了关于软件供应链信任和操作系统后门的深刻讨论。感谢微软安全团队（MORSE、MSTIC、GHOST）与研究员的合作，使得这一漏洞得以负责任地公开披露。

参考来源

• Nightmare-Eclipse/YellowKey — GitHub