VeraCrypt 1.25 开始默认不支持低版本的 Windows 系统（win 7需要安装kb4474419补丁，详见附录A中的VeraCrypt 版本更新信息，网页中搜索1.25.7就能看到）。因为完全 Windows 系统弃用SHA-1了，详见附录A中的针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。

对系统的要求

只介绍 Windows 系统。

1. win 7 需要先安装kb4474419补丁才能安装及使用最新版的VeraCrypt程序，否则只能安装1.24及更低版本的VeraCrypt。

2. win 10 至少需要1903版本才能安装及使用最新版的VeraCrypt程序，最好是安装1909版本。

下载并安装 VeraCrypt

1. 去VeraCrypt 官网下载.exe程序。（注意：Portable version不能用于加密系统盘）

2. 打开程序后进行安装，
1. 若需要加密系统盘，或者不确定未来是否会加密系统盘，则安装方式选择安装而不是释放。且后续的程序释放路径一定要选在系统盘（默认就是系统盘，自己核对下就行）。

3. 安装时去掉创建系统还原点，创建加密卷或永久解密前做好系统备份就行了。

VeraCrypt 官方只提供了PGP的方式进行签名核对，验签比较麻烦，这里我提供了我验签过的版本的sha-256签名信息。

名称: VeraCrypt Setup 1.25.9.exe 大小: 22165328 字节 (21 MiB) SHA256: 9328f69fe8cca3377b66783fbae4405d764e77eae75cc2b62ac082c551d93a0e

创建一个加密容器

小容量的”加密容器“便于转移，比如：复制到U盘、云盘（复制前最好再用压缩包软件进行1-2次加密，第一次的密码最好是16位以上）。

”加密容器“可以存放1个或多个文件。

1. 打开VeraCrypt程序。

2. 直接点击创建加密卷，或者点击菜单加密卷 -> 创建加密卷

3. 选择创建文件型加密卷，然后下一步。

4. 加密卷类型: 选择隐藏的 VeraCrypt 加密卷，然后下一步。隐藏的 VeraCrypt 加密卷有两套密码，一套密码可以假的空间，另一套密码可以打开真实存放数据的空间。

5. 加密卷创建模式: 选择常规模式，然后下一步。

6. 加密卷位置: 需要选择位置并命名文件名（文件名可以随便起，比如: book.iso），然后勾选从不保留历史记录，然后下一步。

7. 之后几步都默认就行了，一直下一步。

8. 外层加密卷大小: 按需分配，比如: 36 MB，然后下一步。

9. 外层加密卷密码: （这个密码不是真正存数据的密码）设置一个不常见，但是好记的，比如自己的手机号，然后下一步。

10. 外层加密卷格式化: 刷满下方的进度条（在框内一直移动鼠标就行），然后格式化，格式化完毕后点击下一步。

11. 隐藏加密卷加密选项: 同样使用默认选项，然后下一步。

12. 隐藏加密卷大小: 会显示最大能创建的容量，比他小的整数就行了(有一部分容量被外层用了)，比如前面设置的36MB，这里就可以设置为34MB，然后下一步。

13. 隐藏加密卷密码: 建议20字符以上（且含有字母、数字、特殊字符），前面有写了一篇文章介绍复杂密码的设置策略，可以回头去看看。

14. 隐藏加密卷格式化: 刷满下方的进度条（在框内一直移动鼠标就行），然后格式化，格式化完毕就可以退出加密卷创建向导了。

15. 注意: 千万要记住密码，最好是留好辅助记忆的东西，包括纸质和电脑上可以放上。忘记了密码的话，暴力破解几乎不可能，因为前面设置了20位以上的复杂密码，按民用计算机的性能可能需要几万年甚至上亿年。

16. 注意：千万要备份，特别是不小心进入了假空间并存放了数据，存数据前一定要确认是否为隐藏空间，放一次文件后就能快速确定了。

17. 注意：加密卷容量不要存太满，用的差不多了就重新创建一个容量更大的然后迁移过去，后续不会忙中出错。

加载与卸载加密容器

1. 打开VeraCrypt程序。

2. 选择空闲的盘符（比如: K 盘），然后点击选择文件，或者点击菜单加密卷 -> 选择文件

3. 然后点击加载，输入密码，然后点击确定。（注意：如果你选择的带有隐藏卷的加密卷，两个密码都能打开各自的空间，但是需要注意：假空间不要放东西否则这个加密卷可能会损坏，所以记得备份）

4. 加载完毕后，可以直接右击盘符打开，或者去计算机中查看设备与驱动器，找到对应的盘符打开。

5. 使用完毕后，打开VeraCrypt程序，选中盘符，然后点击下方的卸载就能卸载掉已经加载的盘符。

对系统盘进行加密

注意: 加密分区或文件比较大时会比较耗时（可能要2、3个小时甚至更久，确保期间不会被响应到不然加密的分区或文件可能会废掉），如果是给虚拟电脑内的系统盘进行加密（还有个时虚拟电脑的快照备份是增量备份，所以加密后备份等于是双倍的磁盘大小），可以先提高配置，加密完后再改回来。

1. 一定要提前进行备份！！！如果是系统可以用工具进行备份；如果是分区可以把文件都移走加密完后再复制进加密卷；如果是文件者直接正常复制备份就行了；...

2. 如果是虚拟电脑，此时可以先关机调高配置然后重启。

3. 打开VeraCrypt程序。

4. 点击上方的菜单系统 -> 加密系统分区/驱动器，之后的系统加密类型自己看情况选择，一般选择常规就行了，然后点击下一步。

5. 要加密的区域，选择加密 Windows 系统分区，然后点击下一步。第二个选项加密整个硬盘驱动器是加密整块硬盘，如果硬盘比较大的话加密操作要很久，如果不是整块硬盘都是隐私数据的话不建议选这个，一般建议程序与数据分离，且数据别放在系统盘，这样程序可以单独一个分区不需要加密，数据可以单独放一个分区进行加密（加密之后要更改为新的路径？），然后点击下一步。

6. 加密主机保护区域，选择否，然后点击下一步。

7. 操作系统数目，自己看情况选择（简单说就是一块硬盘上是否安装了多个操作系统，两块硬盘上各自安装了一个系统也算单系统），然后点击下一步。

8. 加密选项，加密算法选择默认的就行（AES，展示有Rijndael的那个，这个速度更快），哈希算法也选择默认的就行（SHA-256或者SHA-512），然后点击下一步。

9. 密码，密码的长度推荐20位以上，可以增加被暴力破解的难度。当然这么长的密码也是很难记得，一般是使用唐诗或宋词的拼音缩写，然后加上正序数字，然后再加上个别特殊字符就好记多了，举个例子: cqmygysdssjtwmydtsgx987654321+X=?。使用PIM不用勾，使用默认的就行了，然后点击下一步。

10. 搜集随机数据，在窗口内随意移动鼠标就行了，直到进度条拉满，然后点击下一步。

11. 提示密钥已生成，直接点击下一步。

12. 应急盘，如果没有一个容量小于等于16G的U盘（或者是虚拟机装的），就勾选跳过修复验证（一般是没问题的，但是那个VeraCrypt Rescue Disk.iso一定要备份好【因为每次加密的密钥都不一样，所以是一一对应的】方便以后出问题了修复，不然就要格式化硬盘了），然后点击下一步。

13. 擦除模式，根据自身情况选择，然后点击下一步。

14. 系统加密预测试，点击测试，期间会提示要重启电脑。
1. 重启电脑时，就需要输入密码了，输完按Enter键就行，当让你输入PIM时，如果你没有设置，直接按Enter键就行，然后等待验证和进入系统。

15. 进入系统后，会提示你与测试完成，可以点击Defer或推迟来推迟加密（因为加密过程比较耗时，一定要确定可以持续这么长时间不断电），也可以点击Encrypt或加密进行加密。
1. 如果选择了Defer或推迟，那么下次启动系统时会继续弹出弹窗让你选择。

16. 加密完成后，点击Finish或完成关闭。

挂载加密后的系统盘

1. 直接通过系统引导进入到输入加密密码那里

2. 通过创建加密系统盘时创建的应急盘引导进入

3. 通过其他硬盘挂载加密系统分区

通过其他硬盘挂载加密系统分区

1. 打开VeraCrypt程序。

2. 选择空闲的盘符（比如: K 盘），然后点击选择设备，或者点击菜单加密卷 -> 选择设备（怎么确认哪个是加密后的系统盘：根据容量和卷标，加密后的分区是没有卷标的）

3. 然后点击菜单系统 -> 以非启动验证方式加载，然后输入密码，加载完毕后，可以直接右击盘符打开，或者去计算机中查看设备与驱动器，找到对应的盘符打开。

对硬盘分区进行加密

对整块硬盘进行加密

通用加载与卸载加密分区或设备

附录A 相关链接