设为首页  收藏本站
繁 體 中 文 联系站长
首 页 行业资讯 综合布线 维护专题 厦门数据恢复 硬件维修 IT新闻 电脑维修网 电脑维护论坛 网址导航 下载中心 访客留言
您现在所在的位置:首页 >>行业资讯 >> 文章内容
重装系统后 实战Windows自带EFS解密
双击自动滚屏 文章来源:厦门讯维电脑维护网   发布者:xmpcw   发布时间:2011-4-17 20:34:16   阅读:32548

广告位招租 0592-8301601

厦门电脑维护 8301601

公司一位同事的电脑中病毒,无药可救,帮她还原系统后才发觉她的D盘有部分文件无法打开使用,原因是这位MM竟然给自己的文件用了WINDOWS自带的EFS加密了。哎,真是骑虎难下!!万不得已,只得寻找相关技术资料并试图解密……

  首先我们先了解一下“EFS加密原理”:

  大家知道,EFS加密实际上综合了对称加密和不对称加密:

  (1)随机生成一个文件加密密钥(叫做FEK),用来加密和解密文件。

  (2)这个FEK会被当前帐户的公钥进行加密,加密后的FEK副本保存在文件$EFS属性的DDF字段里。

  (3)要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK去解密文件。看到这里,似乎EFS的脉络已经很清晰,其实不然,这样还不足于确保EFS的安全性。系统还会对EFS添加两层保护措施:

  1)Windows会用64字节的主密钥(Master Key)对私钥进行加密,加密后的私钥保存在以下文件夹:%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID  。提示 Windows系统里的各种私有密钥,都用相应的主密钥进行加密。Windows Vista的BitLocker加密,也用其主密钥对FVEK(全卷加密密钥)进行加密。

  2)为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来),加密后的主密钥保存在以下文件夹:%UserProfile%\Application Data\Microsoft\Protect\SID 。

  通过上面简单的介绍,我们可以得到这个结论,就是我们如果要对EFS进行解密必须要一下满足以下两点:

  (1)必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。

  (2)该被删帐户的配置文件必须存在:加密后的私钥和主密钥(还包括证书和公钥),都保存在配置文件里,所以配置文件万万不可丢失,否则就会彻底任务失败。

  可能大家会想,只需新建一个同名的用户帐户,然后把原来配置文件复制给新帐户,不就可以解密EFS文件了?原因在于帐户的SID,因为新建用户的SID不可能和老帐户一样,所以常规方法是不可能奏效的。我们必须另辟蹊径,让系统再造一个完全一样的SID!

  下面就看我的具体步骤:

  (1)把新系统进行GHOST备份。

  (2)找一张DOS下的支持NTFS 的EasyRecovery光盘,使用EasyRecovery 找回账户配置文件(具体能不能找回该配置文件,就要看大家的运气了,还好我的运气不错,找到了,不然就不知道怎么向MM交代了,呵呵)。然后把找到的用户配置文件另存到D盘。(如图1)

  (

[1] [2]  下一页


【 字体: 打印本页 | 关闭窗口
本站发表读者评论,并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息。
  下一篇文章:日语输入法安装方法。
 本文的地址是: http://xmpcw.cn/onews.asp?id=306  转载请注明出处!
本类最新文章
2013年厦门讯维电脑维修维护, 2012年上门电脑维修,上门监控 笔记本重启 死机五项分析及对策
苹果拒绝吸烟造成产品损坏提供保修 青年求职200多次遭拒后自主创业 日语输入法安装方法。
维护首页 | 收藏本站 | 维护留言 | 联系我们 | 友情链接 | 维护IT服务 | 厦门电脑系统维护

厦门电脑维护项目:厦门电脑维护厦门网络维护厦门电脑维护站厦门网络布线厦门监控安装等厦门外包服务- http://www.disk110.net
Copyright @ 2003-2017  厦门维护电脑网  闽ICP备05014549号 Design by xmpcw.cn
厦门兴信维科技,电脑维护 24小时上门维护电脑 热线电话:0592-8301601 13599926035 8301601 18965160460
Email:xmpcw#xmpcw.com 在线QQ: 厦门电脑上门维修 厦门维护电脑8301601