论文部分内容阅读
本文可以学到
通过破解账户密码找回EFS加密文件
通过Ghost镜像文件打开EFS加密文件
使用再造SID方法访问EFS加密文件
本文相关小知识
★EFS是英文Encrypting File System的缩写,意为加密文件系统,是微软应用于NTFS文件系统上的一种独特的加密技术。这种方法采用了多重加密法,就像是锁上再加把锁一样:系统先通过随机数产生第一把锁——FEK(File Encryption Key,文件加密钥匙),然后利用FEK加密文件并把它存储到硬盘上,同时删除原来的文件;接下来系统利用第二把锁——公钥,去加密FEK,并把加密后的FEK存储在同一个加密文件中。在访问被加密的文件时,则是一个逆向解锁的过程,系统首先利用当前用户的私钥解密FEK,然后再利用FEK解密出文件。
本文相关小提示
★加密。使用EFS加密文件很简单,在NTFS分区选中需要加密的文件(或文件夹),右击选择“属性”,在打开的属性窗口单击“高级”按钮,接着在打开的高级属性窗口,勾选“压缩或加密属性”下的“加密内容以便保护数据”就可以了。加密后的文件会以绿色形式标注。
★禁用加密。EFS加密会给我们带来一些麻烦,如果你觉得它没什么用,想要彻底禁用EFS加密,可以打开“注册表编辑器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS],在右侧窗格右击选择“新建→Dword值”,新建一个名为EfsConfiguration的键,并设置键值为“1”。重启后用户试图应用加密属性时,系统就会弹出“这台机器已为文件加密而停用”的提示。不过千万要注意,如果已有加密文件,禁用EFS之前一定要先解密它。
这篇文章的选题灵感,缘自一位读者朋友的求助电话,他重装系统后,原来通过EFS加密的文件怎么也打不开了。当时我没能立即解决这个问题,引以为憾,正好有作者投来相关稿件,于是整理出本文。希望还能对那位朋友,及其他遇到同样烦恼的朋友有所帮助。
从Windows 2000开始微软就在系统中提供EFS加密功能,这本是一件非常好的事情,但也就是从Windows 2000开始, EFS加密给不少人带来麻烦。因为EFS是基于系统和账户SID依存的高强度加密方法,在忘记该账户密码,或者重装系统后都会导致无法访问EFS加密文件。不过,EFS加密也并非无懈可击,因为EFS加密和系统其他要素紧密相关,EFS本身无法破解,我们可以从其相关联的要素找到突破口(见图1)。下面就介绍几种方法来打开这些文件。
(1)
(2)
方法1:暗度陈仓,破解加密账户密码
EFS加密对于加密账户本身的访问是没有妨碍的,因此要访问其他账户加密的EFS文件,我们只要获取他的登录密码即可(当然得有用户授权)。
适用对象:账户密码设置比较简单的账户,并且账户没有被删除
Proactive System Password Recovery(下载地址:http://www.onlinedown.net/soft/3192.htm,快车代码:CF0804CMXT04)是一款账户密码查看软件,它使用词典猜解方法查看账户密码。
软件注释:为方便使用可以到网上下载对应的汉化版,本文以汉化版为例。由于是破解密码软件,运行时杀毒软件可能会报警,选择“忽略”。
运行程序后,展开“Option→Gernal option”(选项→常规选项),在“chose a program interface language”下选择“chinese”,然后单击“Apply”切换到中文版。展开“主菜单→恢复Hashes”,在右侧的窗口就可以看到当前系统各账户密码,使用相应的密码登录系统解密文件即可(见图2)。
小提示
★对于复杂密码破解依靠软件并不一定能成功,根据微软的建议,找回EFS加密文件最好的方法是导出加密证书。第一次进行EFS加密后,单击“开始→运行”输入“certmgr.msc”,打开证书管理窗口。依次展开“个人→证书”,然后选中右侧窗格与账户同名的证书,右击选择“导出”,及时将证书和私钥一起导出到其他位置保存备用。以后要访问加密文件,同上打开证书管理导入证书即可。
方法2:曲线救国,强行破解加密文件
很多朋友在加密文件后又重装系统,此时在新系统下就无法访问加密文件了,如果在加密后制作了GHO镜像,我们可以利用Advanced EFS Data Recovery(以下简称为AEFSDR,下载地址:http://www.onlinedown.net/soft/14922.htm,快车代码:CF0804CMXT05)找回密钥。
适用对象:加密后制作了GHO镜像(加密前制作的镜像没有密钥),并且知道加密时的账户密码。
首先使用Ghost Explorer打开镜像文件,然后单击“编辑→全选”,把镜像文件全部提取到任一空白分区(如:D:\)。启动AEFSDR激活扫描向导,扫描分区选择“D:\”,扫描并找到密钥后,程序会提示添加用户名和密码。用户名随意输入,密码则一定要输入原来加密文件时使用的账户密码。接着单击Add(添加)按钮,程序开始扫描指定NTFS分区上的加密文件(见图3)。找到文件后,单击Next(下一步)按钮,程序提示选择一个保存加密文件的目录(如D:),AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下。
(3)
方法3:自力更生,再造账户
我们往往是删除加密账户后才发现EFS文件无法打开,此时该怎么办?其实打开EFS加密的关键就在于密钥,密钥和账户一一对应,如果不慎删除账户,我们就要再造一个和被删账户相同的SID,通过欺骗XP的方法打开加密文件。
适用对象:本机保存被删账户的配置文件,而且能够记住原来账户密码。如果没有配置文件,请尝试使用数据恢复工具查找。
假设现在有一个名为CFAN的账户加密了文件,但是这个账户已经被删除。现在需要打开CFAN账户加密的文件,具体操作如下。
小提示
★SID(Security Identifiers)是标识用户、组和计算机账户的唯一的号码。在第一次创建账户系统将给它分发一个唯一的SID。XP正是通过SID验证用户,判断访问EFS加密文件的账户是否有访问权限。因为每个账户的SID是不同,所以创建一个和被删账户同名的新账户并不能打开加密文件。但是账户被删除后,如果其配置文件在本机仍然存在。我们就可以通过手动方法更改新建账户的SID,从而让XP误认为是原来的账户。
第1步:尝试打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA,看看其中是否有类似S-1-5-21-687439264-1844322744-2086245278-1008的文件夹(即被删账户SID名的目录)。如果没有该目录,我们就要使用恢复软件找回,比如用带FinalData的PE启动光盘来进行(可参考第3期《惊魂一刻——遭遇分区误删除》)。使用PE启动系统后运行FinalData,单击“文件→打开”,选择C驱动器进行扫描,如果找到被删的目录C:\Documents and Settings\#FAN,就将它恢复到d:\。
第2步:打开d:\#FAN\Application Data\Microsoft\Crypto\RSA\,可以看到其中名为S-1-5-21-687439264-1844322744-2086245278-1008的目录,也就是说CFAN的SID就是S-1-5-21-687439264-1844322744-2086245278-1008,它的RID是1008(RID是SID字符串中具体账户权限标识)。
第3步:现在只要在系统新建一个名为CFAN的账户,然后把它的RID标识更改为1008即可。在Windows中,下一个新建账户所分配的RID是由[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account]注册表项的F键值所确定的。运行注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account],双击右侧的F值,选中0048处前四个字节,然后按退格键删除,接着输入F0 03 00 00(见图4)。(操作前请先备份注册表)
第4步:重启电脑新建一个名为CFAN的账户,用新建的CFAN账户登录系统,启动EFS随意加密任一文件然后注销(XP只有使用EFS加密后才会产生密匙)。
(4)
第5步:用XP系统里其他管理员账户登录系统,把前面提取出来的配置文件改名为CFAN,复制到C:\Documents and Settings文件夹下替换同名文件。因为使用CFAN登录后无法替换正在使用的配置文件。
第6步:替换完成后重启,再次使用CFAN账户登录,就可以解密原来的EFS文件了。因为XP已经把这个新建的CFAN账户“误认”为是原来的账户。
小编有话说:虽然本文介绍很多种“破解”EFS加密的方法,但是可以看到这些方法都有很大局限性。如果在账户完全删除,本机密钥彻底丢失情况下,我们根本无法破解EFS加密文件。因此,使用EFS加密的用户,最好的方法是在第一次使用EFS加密时就及时导出证书保存,才是万全之策!
小提示
★默认情况下只有system账户才能访问[HKEY_LOCAL_MACHINE\SAM\SAM],需要右击SAM键值选择“权限”。然后添加当前用户对该键值的读取权限设置为“完全控制”。另外,Windows是以十六进制,而且以反转形式保存下一个账户的RID。1008对应十六进制是03F0,现在要反转为F003,再扩展为4个字节即F0 03 00 00。10进制转换16进制可以登录http://99cha.net/misc.ashx?k=demention-exchange进行转换(转换结果前加0)。
小提示
★新建CFAN账户并使用EFS加密后,可以打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA,看看是否存在S-1-5-21-687439264-1844322744-2086245278-1008目录。如不是1008则说明注册表F键值修改不成功,请重复上述编辑操作。
网络大补贴
本方法参考了盆盆《EFS加密的一线生机-加密账户被删的补救方法》:
http://blogs.itecn.net/blogs/ahpeng/archive/2006/04/20/Hack_5F00_in_5F00_EFS.aspx
通过破解账户密码找回EFS加密文件
通过Ghost镜像文件打开EFS加密文件
使用再造SID方法访问EFS加密文件
本文相关小知识
★EFS是英文Encrypting File System的缩写,意为加密文件系统,是微软应用于NTFS文件系统上的一种独特的加密技术。这种方法采用了多重加密法,就像是锁上再加把锁一样:系统先通过随机数产生第一把锁——FEK(File Encryption Key,文件加密钥匙),然后利用FEK加密文件并把它存储到硬盘上,同时删除原来的文件;接下来系统利用第二把锁——公钥,去加密FEK,并把加密后的FEK存储在同一个加密文件中。在访问被加密的文件时,则是一个逆向解锁的过程,系统首先利用当前用户的私钥解密FEK,然后再利用FEK解密出文件。
本文相关小提示
★加密。使用EFS加密文件很简单,在NTFS分区选中需要加密的文件(或文件夹),右击选择“属性”,在打开的属性窗口单击“高级”按钮,接着在打开的高级属性窗口,勾选“压缩或加密属性”下的“加密内容以便保护数据”就可以了。加密后的文件会以绿色形式标注。
★禁用加密。EFS加密会给我们带来一些麻烦,如果你觉得它没什么用,想要彻底禁用EFS加密,可以打开“注册表编辑器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS],在右侧窗格右击选择“新建→Dword值”,新建一个名为EfsConfiguration的键,并设置键值为“1”。重启后用户试图应用加密属性时,系统就会弹出“这台机器已为文件加密而停用”的提示。不过千万要注意,如果已有加密文件,禁用EFS之前一定要先解密它。
这篇文章的选题灵感,缘自一位读者朋友的求助电话,他重装系统后,原来通过EFS加密的文件怎么也打不开了。当时我没能立即解决这个问题,引以为憾,正好有作者投来相关稿件,于是整理出本文。希望还能对那位朋友,及其他遇到同样烦恼的朋友有所帮助。
从Windows 2000开始微软就在系统中提供EFS加密功能,这本是一件非常好的事情,但也就是从Windows 2000开始, EFS加密给不少人带来麻烦。因为EFS是基于系统和账户SID依存的高强度加密方法,在忘记该账户密码,或者重装系统后都会导致无法访问EFS加密文件。不过,EFS加密也并非无懈可击,因为EFS加密和系统其他要素紧密相关,EFS本身无法破解,我们可以从其相关联的要素找到突破口(见图1)。下面就介绍几种方法来打开这些文件。
(1)
(2)
方法1:暗度陈仓,破解加密账户密码
EFS加密对于加密账户本身的访问是没有妨碍的,因此要访问其他账户加密的EFS文件,我们只要获取他的登录密码即可(当然得有用户授权)。
适用对象:账户密码设置比较简单的账户,并且账户没有被删除
Proactive System Password Recovery(下载地址:http://www.onlinedown.net/soft/3192.htm,快车代码:CF0804CMXT04)是一款账户密码查看软件,它使用词典猜解方法查看账户密码。
软件注释:为方便使用可以到网上下载对应的汉化版,本文以汉化版为例。由于是破解密码软件,运行时杀毒软件可能会报警,选择“忽略”。
运行程序后,展开“Option→Gernal option”(选项→常规选项),在“chose a program interface language”下选择“chinese”,然后单击“Apply”切换到中文版。展开“主菜单→恢复Hashes”,在右侧的窗口就可以看到当前系统各账户密码,使用相应的密码登录系统解密文件即可(见图2)。
小提示
★对于复杂密码破解依靠软件并不一定能成功,根据微软的建议,找回EFS加密文件最好的方法是导出加密证书。第一次进行EFS加密后,单击“开始→运行”输入“certmgr.msc”,打开证书管理窗口。依次展开“个人→证书”,然后选中右侧窗格与账户同名的证书,右击选择“导出”,及时将证书和私钥一起导出到其他位置保存备用。以后要访问加密文件,同上打开证书管理导入证书即可。
方法2:曲线救国,强行破解加密文件
很多朋友在加密文件后又重装系统,此时在新系统下就无法访问加密文件了,如果在加密后制作了GHO镜像,我们可以利用Advanced EFS Data Recovery(以下简称为AEFSDR,下载地址:http://www.onlinedown.net/soft/14922.htm,快车代码:CF0804CMXT05)找回密钥。
适用对象:加密后制作了GHO镜像(加密前制作的镜像没有密钥),并且知道加密时的账户密码。
首先使用Ghost Explorer打开镜像文件,然后单击“编辑→全选”,把镜像文件全部提取到任一空白分区(如:D:\)。启动AEFSDR激活扫描向导,扫描分区选择“D:\”,扫描并找到密钥后,程序会提示添加用户名和密码。用户名随意输入,密码则一定要输入原来加密文件时使用的账户密码。接着单击Add(添加)按钮,程序开始扫描指定NTFS分区上的加密文件(见图3)。找到文件后,单击Next(下一步)按钮,程序提示选择一个保存加密文件的目录(如D:),AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下。
(3)
方法3:自力更生,再造账户
我们往往是删除加密账户后才发现EFS文件无法打开,此时该怎么办?其实打开EFS加密的关键就在于密钥,密钥和账户一一对应,如果不慎删除账户,我们就要再造一个和被删账户相同的SID,通过欺骗XP的方法打开加密文件。
适用对象:本机保存被删账户的配置文件,而且能够记住原来账户密码。如果没有配置文件,请尝试使用数据恢复工具查找。
假设现在有一个名为CFAN的账户加密了文件,但是这个账户已经被删除。现在需要打开CFAN账户加密的文件,具体操作如下。
小提示
★SID(Security Identifiers)是标识用户、组和计算机账户的唯一的号码。在第一次创建账户系统将给它分发一个唯一的SID。XP正是通过SID验证用户,判断访问EFS加密文件的账户是否有访问权限。因为每个账户的SID是不同,所以创建一个和被删账户同名的新账户并不能打开加密文件。但是账户被删除后,如果其配置文件在本机仍然存在。我们就可以通过手动方法更改新建账户的SID,从而让XP误认为是原来的账户。
第1步:尝试打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA,看看其中是否有类似S-1-5-21-687439264-1844322744-2086245278-1008的文件夹(即被删账户SID名的目录)。如果没有该目录,我们就要使用恢复软件找回,比如用带FinalData的PE启动光盘来进行(可参考第3期《惊魂一刻——遭遇分区误删除》)。使用PE启动系统后运行FinalData,单击“文件→打开”,选择C驱动器进行扫描,如果找到被删的目录C:\Documents and Settings\#FAN,就将它恢复到d:\。
第2步:打开d:\#FAN\Application Data\Microsoft\Crypto\RSA\,可以看到其中名为S-1-5-21-687439264-1844322744-2086245278-1008的目录,也就是说CFAN的SID就是S-1-5-21-687439264-1844322744-2086245278-1008,它的RID是1008(RID是SID字符串中具体账户权限标识)。
第3步:现在只要在系统新建一个名为CFAN的账户,然后把它的RID标识更改为1008即可。在Windows中,下一个新建账户所分配的RID是由[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account]注册表项的F键值所确定的。运行注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account],双击右侧的F值,选中0048处前四个字节,然后按退格键删除,接着输入F0 03 00 00(见图4)。(操作前请先备份注册表)
第4步:重启电脑新建一个名为CFAN的账户,用新建的CFAN账户登录系统,启动EFS随意加密任一文件然后注销(XP只有使用EFS加密后才会产生密匙)。
(4)
第5步:用XP系统里其他管理员账户登录系统,把前面提取出来的配置文件改名为CFAN,复制到C:\Documents and Settings文件夹下替换同名文件。因为使用CFAN登录后无法替换正在使用的配置文件。
第6步:替换完成后重启,再次使用CFAN账户登录,就可以解密原来的EFS文件了。因为XP已经把这个新建的CFAN账户“误认”为是原来的账户。
小编有话说:虽然本文介绍很多种“破解”EFS加密的方法,但是可以看到这些方法都有很大局限性。如果在账户完全删除,本机密钥彻底丢失情况下,我们根本无法破解EFS加密文件。因此,使用EFS加密的用户,最好的方法是在第一次使用EFS加密时就及时导出证书保存,才是万全之策!
小提示
★默认情况下只有system账户才能访问[HKEY_LOCAL_MACHINE\SAM\SAM],需要右击SAM键值选择“权限”。然后添加当前用户对该键值的读取权限设置为“完全控制”。另外,Windows是以十六进制,而且以反转形式保存下一个账户的RID。1008对应十六进制是03F0,现在要反转为F003,再扩展为4个字节即F0 03 00 00。10进制转换16进制可以登录http://99cha.net/misc.ashx?k=demention-exchange进行转换(转换结果前加0)。
小提示
★新建CFAN账户并使用EFS加密后,可以打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA,看看是否存在S-1-5-21-687439264-1844322744-2086245278-1008目录。如不是1008则说明注册表F键值修改不成功,请重复上述编辑操作。
网络大补贴
本方法参考了盆盆《EFS加密的一线生机-加密账户被删的补救方法》:
http://blogs.itecn.net/blogs/ahpeng/archive/2006/04/20/Hack_5F00_in_5F00_EFS.aspx