博客访问： 524763
博文数量： 95
博客积分： 2283
博客等级： 大尉
技术积分： 876
注册时间：
没什么好说的。
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： WINDOWS
如果某个用户把自己的登录帐户删除，那么其他用户将无法访问其EFS加密文件。更可恶的是，一旦公司里的某个用户心怀怨气，恶意加密了本属于别的用户的重要文件，将会导致严重问题。一般情况下，这些EFS加密文件已经被判了死刑，但是实际上只要满足以下条件的话，我们还是可以在末日来临之前打开逃生的天窗：
(1) 必须知道该被删帐户的密码。
(2) 该被删帐户的配置文件必须存在。如果使用“本地用户和组”管理单元删除帐户，则配置文件保留的机会很大，如果使用“用户帐户”控制面板删除帐户，则有一半机会保留配置文件。如果配置文件不幸被删，则只能祈祷可以借助Easy Recovery之类的数据恢复工具进行恢复。
可能有些朋友会觉得这两个条件比较苛刻，此处卖个关子先……
EFS加密原理
大家知道，EFS加密实际上综合了对称加密和不对称加密：
(1) 随机生成一个文件加密密钥(叫做FEK)，用来加密和解密文件。
(2) 这个FEK会被当前帐户的公钥进行加密，加密后的FEK副本保存在文件$EFS属性的DDF字段里。
(3) 要想解密文件，首先必须用当前用户的私钥去解密FEK，然后用FEK去解密文件。
看到这里，似乎EFS的脉络已经很清晰，其实不然，这样还不足于确保EFS的安全性。系统还会对EFS添加两层保护措施：
(1) Windows会用64字节的主密钥(Master Key)对私钥进行加密，加密后的私钥保存在以下文件夹：
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID
提示 Windows系统里的各种私有密钥，都用相应的主密钥进行加密。Windows Vista的BitLocker加密，也用其主密钥对FVEK(全卷加密密钥)进行加密。
(2) 为了保护主密钥，系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来)，加密后的主密钥保存在以下文件夹：
%UserProfile%\Application Data\Microsoft\Protect\SID
整个EFS加密的密钥架构如图1所示。
提示 EFS密钥的结构部分，参考自《Windows Internals 4th》的第12章。
回到“任务描述”部分所述的两个条件，现在我们应该明白原因了：
(1) 必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。
提示 难怪Windows XP和2000不同，管理员重设帐户密码，也不能解密EFS文件。
(2) 该被删帐户的配置文件必须存在：加密后的私钥和主密钥(还包括证书和公钥)，都保存在配置文件里，所以配置文件万万不可丢失，否则就会彻底“鬼子不能进村”。重装系统后，原来的配置文件肯定被删，这时候当然不可能恢复EFS文件。
可能有用户会想，只需新建一个同名的用户帐户，然后把原来配置文件复制给新帐户，不就可以解密EFS文件了？原因在于帐户的SID，因为新建用户的SID不可能和老帐户一样，所以常规方法是不可能奏效的。我们必须另辟蹊径，让系统再造一个完全一样的SID！
为了方便描述，这里假设被删帐户的用户名为Admin，Windows安装在C盘。
1．再造SID
注意 本方法取自“声明”部分提到的那篇文章。
首先确认被删帐户的SID，这里可以进入以下文件夹：
C:\Documents and Settings\Admin\Application Data\Microsoft\Crypto\RSA
在其下应该有一个以该被删帐户的SID为名的文件夹，例如是S-1-5-21--4(RID为1004)
现在我们要设法让新建帐户同样具有1004的RID，这样就能达到目的。
在Windows中，下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项的F键值所确定的。F键值是二进制类型的数据，在偏移量0048处的四个字节，定义下一个帐户的RID。那么也就是说，只需要修改0048处的四个字节，就能达到目的(让新建帐户获得1004的RID)！
确认好以后，别忘记把Admin帐户的配置文件转移到别的地方！
(1) 默认情况下，只有system帐户才有权限访问HKEY_LOCAL_MACHINE\SAM，这里在CMD命令提示符窗口，运行以下命令，以system帐户身份打开注册表编辑器：
psexec -i -d -s %windir%\regedit.exe
提示 可以在以下网站下载psexec：
(2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项，双击打开右侧的F键值。
(3) 这里要说明一下，Windows是以十六进制、而且以反转形式保存下一个帐户的RID。什么意思呢？也就是说，如果是1004的RID，对应十六进制就是03EC，但是我们必须把它反转过来变成EC03，再扩展为4个字节，就是EC 03 00 00。
所以，我们应该把F键值的0048偏移量处，把其中四个字节改为“EC 03 00 00”，如图2所示。
(4) 重要：别忘了重启计算机！
(5) 重启以后，新建一个同名帐户Admin，它的SID应该和以前是完全一样。如果不相信的话，可以借助GetSID或者PsGetSID等工具测试一下。
2．“破解”EFS
接下来的方法就非常简单了，用新建的Admin帐户身份登录系统，随便加密一个文件，然后注销，用管理员帐户登录系统，把原来保留的配置文件复制到C:\Documents and Settings\Admin文件夹下。
再用Admin帐户登录系统，现在可以解密原来的EFS文件了。
1．如果已经重装系统，那怎么办？
“声明”部分提到的那篇文章里提到，如果还记得原来帐户的密码，并且配置文件没有被删除的话，还有希望。这时候可以借助sysinternals的NEWSID工具把系统的计算机SID重设为原来的值，再用前面描述的方法构造所需的RID，这样就可以获得所需的帐户SID。剩余步骤完全一样。
2．有用户曾经遇到这样的问题：登录系统时收到提示说密码过期，需要重设，重设密码登录后发现打开EFS文件。
KB890951提到这个问题。其解释是因为在修改密码时，系统还没有加载配置文件(有点语焉不详)，原文如下：
This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
配置文件和EFS有何相干？看完本文，大家应该知道，EFS的私钥和主密钥都是保存在配置文件里的。由于配置文件没有加载，所以主密钥的加密版本没有得到更新(没有跟上帐户密码的变化)，导致主密钥无法正确解密，从而无法解密私钥和FEK。这就是问题的真正原因。
该KB提供了一个内部补丁，可以解决这个问题。KB890951的链接如下：
3．有关公钥的问题
为了容易理解，笔者故意忽略了公钥。公钥保存也保存在帐户的配置文件里：
%UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
在EFS恢复的操作中，必须确保公钥也要复制到新帐户的配置文件里。尽管看起来公钥与EFS解密无关(它负责加密)。
原来，加密文件$EFS属性的DDF字段里除了有帐户SID和加密的FEK副本外，还有公钥的指纹信息(Public Key Thumbprint)和私钥GUID信息(私钥的某种散列值)。
系统在扫描加密文件$EFS属性中的DDF字段时，根据用户配置文件里的公钥中所包含的公钥指纹和私钥GUID信息，当然还有帐户的SID，来判断该帐户是否具有对应的DDF字段，从而判断该用户是否属于合法的EFS文件拥有者。
所以公钥也很重要。
当然公钥是可以“伪造”的(可以伪造出所需的公钥指纹和私钥GUID)，以欺骗EFS系统，具体方法可以参考国外的那篇原稿，此处不再赘述。
加强EFS的安全
由于EFS把所有的相关密钥都保存在Windows分区，所以这可能给EFS带来一定的安全隐患。目前有一些第三方工具号称可以破解EFS，这些工具首先攻击SAM配置单元文件，尝试破解帐户密码，从而破解帐户密码→主密钥的加密密钥→主密钥→EFS私钥→FEK的“密钥链”。
为了防止攻击者窥视我们的EFS文件，可以借助以下三种方法：
1．导出删除私钥
可以用证书向导导出EFS加密证书和私钥，并且在“证书导出向导”对话框里选择删除私钥，如图3所示。
删除私钥以后，攻击者就没有办法访问EFS加密文件了，而我们需要访问时，只需导入先前备份的证书和私钥即可。
2．System Key提供额外的保护
System Key可以对SAM配置单元文件和EFS私钥提供额外保护。Windows XP的System Key默认保存在本地，我们可以运行syskey命令，强制系统将System Key保存在软盘里，或者用启动密码(startup password)来生成System Key。
由于EFS“密钥链”的根密钥(System Key)没有保存在本地计算机中， 所以攻击者将更加难以破解EFS加密。
提示 BitLocker加密的recovery key，类似于syskey的startup password，都是借助启动时所输入的一串密码来生成所需的密钥。
3．BitLocker提供更彻底的保护
本方法仅适用于Windows Vista(Enterprise和Ultimate Edition)。
最彻底的保护方法，首推Windows Vista新引入的BitLocker加密，这时候Windows分区的所有内容全部被加密(包括SAM配置单元、EFS密钥)。
BitLocker(TPM1.2)加密可以看成是Windows启动保护器。在系统启动时，TPM芯片会负责分析各个重要的启动组件，以判断自己是否位于原来的计算机环境。如果是的话，就依次释放BitLocker加密所需的密钥链，我们才能顺利地访问Windows，才能访问EFS文件。
如果攻击者企图把硬盘挂接到别的计算机上，系统就会拒绝释放密钥，整个Windows Vista分区处于加密状态。
如果攻击者窃取了计算机，并且窃取了BitLocker所需所有条件(TPM芯片自不必说，假设也获得密钥U盘)。这时候系统能够顺利引导，并且成功释放BitLocker密钥链。但是攻击者还必须想办法知道帐户的密码，否则无法登录系统，Windows分区依然处于加密状态。
EFS额外保护的原理如图4所示。
4．题外话：为什么释放BitLocker密钥以后，Windows分区依然处于加密状态？
所以尽管BitLocker密钥已经释放，但是Windows分区并没有被立即全部解密。否则每次启动，都要解密整个Windows分区，得花多少时间(笔者的Vista分区完全解密，共花3小时)！
原来BitLocker加密是以一个FVE Filter Driver来实现加密和解密，该Filter Driver处于文件系统驱动的下层。登录系统以后，用户需要访问文件时，文件系统会自动请求FVE Filter Driver进行解密，猜想应该是一次解密一个Block，每个Block可能是512字节(和EFS一样)，不敢确定。对于用户来说，这个过程是完全透明的，同时对性能的影响很小，几乎可以忽略不计。EFS加密的情况有点类似。
这里非常敬佩国外微软技术爱好者的执着，事实上该作者还有一篇经典的文章(描述SAM配置单元文件的二进制结构)，链接如下，非常值得推荐。
很难想象，要编写这样的文章，得花费多少的人力和时间，要做多少的实验才能在SAM数据库逐个字节地找出其对应的含义！
阅读(1329) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。php商业系统是核心授权加密好 还是全部加密php源代码？
php商业系统是核心授权加密好 还是全部加密php源代码 只留模板文件如今破解版泛滥 给企业带来了很大的负担和压力也会给正式商业客户 带来不小的安全隐患 更会扰乱市场顺序本身是个很小的行业 商业客户本身不多 如果考虑像之前那样 只加密核心域名授权文件
则破解太容易了，但如果全部加密php文件则相对来说 破解难度大些都有利弊，不过自己做二次开发的商业客户很少，大多都是些没有技术的公司。所以考虑以后走全加密，留模板，封装一些简单的标签调用。现在始终拿不定主意，大家分析一下利弊，未来如何选择
开不开源由产品策略和发展方向来决定，我觉得当前市场行情下，核心是有必要加密的。当前的 PHP 加密服务几乎都是在你的代码上封装一层，各种eval, 在原来的系统上至少增加三次 I/O 必不可少。而如果混淆得好，然后在代码里 hardcode 对应的一些值。想必读你的代码，不如自己重新写一遍了。利益相关，百度搜索：EnPHP
闭源就是阻碍IT行业发展的一颗毒瘤
已有帐号？
无法登录？
社交帐号登录503: Service Unavailable
503: Service Unavailable
访问太频繁了，服务器要炸。关于EFS加密证书_windows吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：88,986贴子：
关于EFS加密证书收藏
快试试吧，可以对自己使用挽尊卡咯~◆◆
NTFS文件系统能用EFS加密，加密证书怎么备份阿？各位高手告诉我把，我知道如何加密证书没了，加密的文件就永远找不回来了阿~~
谢谢各位高手
随着稳定性和可靠性的逐步提高，Windows&2000/XP已经被越来越多的人使用，很多人还用Windows&2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错，不过发生问题后就难解决了，例如不做任何准备就重装了操作系统，那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救，都是类似这样的问题而导致重要数据无法打开，损失惨重。为了避免更多人受到损失，这里我把使用EFS加密的注事项写出来，希望对大家有所帮助。&
注意，下文中的Windows&XP皆指Professional版，Windows&XP&Home版并不支持EFS加密。&
什么是EFS加密&
EFS（Encrypting&File&System，加密文件系统）是Windows&2000/XP所特有的一个实用功能，对于NTFS卷上的文件和数据，都可以直接被操作系统加密保存，在很大程度上提高了数据的安全性。&
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK&(File&Encryption&Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。&
EFS加密有什么好处&
首先，EFS加密机制和操作系统紧密结合，因此我们不必为了加密数据安装额外的软件，这节约了我们的使用成本。&
其次，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。&
如何使用EFS加密&
要使用EFS加密，首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows&2000全部版本和Windows&XP&Professional。至于还未正式发行的Windows&Server&2003和传闻中的开发代号为Longhorn的新一带操作系统，目前看来也支持这种加密机制。其次，EFS加密只对NTFS5分区上的数据有效（注意，这里我们提到了NTFS5分区，这是指由Windows&2000/XP格式化过的NTFS分区；而由Windows&NT4格式化的NTFS分区是NTFS4格式的，虽然同样是NTFS文件系统，但它不支持EFS加密），你无法加密保存在FAT和FAT32分区上的数据。&
对于想加密的文件或文件夹，只需要用鼠标右键点击，然后选择“属性”，在常规选项卡下点击“高级”按钮，之后在弹出的窗口中选中“加密内容以保护数据”，然后点击确定，等待片刻数据就加密好了。如果你加密的是一个文件夹，系统还会询问你，是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的，同样是按照上面的方法，把“加密内容以保护数据”前的钩消除，然后确定。&
如果你不喜欢图形界面的操作，还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作，至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。&
注意事项：如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。最后一点，Windows的系统文件和系统文件夹无法被加密。&
重装操作系统之后找到之前导出的pfx文件，鼠标右键点击，并选择“安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成操作（注意，如果你之前在导出证书时选择了用密码保护证书，那么在这里导入这个证书时就需要提供正确的密码，否则将不能继续），而之前加密的数据也就全部可以正确打开。&
对于情况2，我们对Windows&XP和Windows&2000两种情况分别加以说明。&
由于Windows&XP没有默认的恢复代理，因此我们加密数据之前最好能先指定一个默认的恢复代理（建议设置Administrator为恢复代理，虽然这个账户没有显示在欢迎屏幕上，不过确实是存在的）。这样设置：&
首先要获得可以导入作为恢复代理的用户密钥，如果你想让Administrator成为恢复代理，首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl＋Alt＋Del两次，打开登录对话框，在用户名处输入Administrator，密码框中输入你安装系统时设置的Administrator密码，然后登录。首先在硬盘上一个方便的地方建立一个临时的文件，文件类型不限。这里我们以C盘根目录下的一个1.txt文本文件文件为例，建立好后在运行中输入“CMD”然后回车，打开命令提示行窗口，在命令提示符后输入“cipher&/r:c:\1.txt”，回车后系统还会询问你是否用密码把证书保护起来，你可以按照你的情况来决定，如果不需要密码保护就直接按回车。完成后我们能在C盘的根目录下找到1.txt.cer和1.txt.pfx两个文件（为了显示的清楚我在文件夹选项中设置了显示所有文件类型的扩展名，这样我们可以更清楚地了解到底生成了哪些文件）。图&
之后开始设置恢复代理。对于1.txt.pfx这个文件，同样需要用鼠标右键点击，然后按照向导的提示安装。而1.txt.cer则有些不同，在运行中输入“gpedit.msc”并回车，打开组策略编辑器。在“计算机配置－Windows设置－安全设置－公钥策略－正在加密文件系统”菜单下，在右侧窗口的空白处点击鼠标右键，并选择“添加数据恢复代理”，然后会出现“添加故障恢复代理向导”按照这个向导打开1.txt.cer，如果一切无误就可以看见图五的界面，这说明我们已经把本机的Administrator设置为故障恢复代理。图&
如果你愿意，也可以设置其它用户为恢复代理。需要注意的是，你导入证书所用的1.txt.pfx和1.txt.cer是用哪个账户登录后生成的，那么导入证书后设置的恢复代理就是这位用户。&
在设置了有效的恢复代理后，用恢复代理登录系统就可以直接解密文件。但如果你在设置恢复代理之前就加密过数据，那么这些数据恢复代理仍然是无法打开的。&
而对于Windows&2000就更加简单，Windows&2000有恢复代理，因此只要用恢复代理（默认的就是Administrator）的账号登录系统，就可以解密文件。&
如何在本机上共享经EFS加密过的数据&
加密过的文件只有加密者本人和恢复代理可以打开，如果你要和本机的其它用户共享加密文件又该怎么办？这在Windows&2000中是不行的，不过在Windows&XP中可以做到。&
选中一个希望共享的加密文件（注意，只能是文件，而不能是文件夹），在文件上用鼠标右键点击，并选择“属性”，之后在属性对话框的“常规”选项卡上点击“高级”按钮，然后再点击“详细信息”，之后你可以看见类似图六的窗口，在这里你可以决定谁可以打开这个加密文件以及察看文件的恢复代理是具体是谁
很多人对EFS理解的不够彻底，因此在使用过程中总会有一些疑问。一般情况下，我们最常见的疑问有以下几种：&
1，&为什么打开加密过的文件时没有需要我输入密码？&
这正是EFS加密的一个特性，同时也是EFS加密和操作系统紧密结合的最佳证明。因为跟一般的加密软件不同，EFS加密不是靠双击文件，然后弹出一个对话框，然后输入正确的密码来确认的用户的；EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦你用适当的账户登录，那你就能打开相应的任何加密文件，并不需要提供什么额外的密码。&
2，&我的加密文件已经打不开了，我能够把NTFS分区转换成FAT32分区来挽救我的文件吗？&
这当然是不可能的了。很多人尝试过各种方法，例如把NTFS分区转换成FAT32分区；用NTFS&DOS之类的软件到DOS下去把文件复制到FAT32分区等，不过这些尝试都以失败告终。毕竟EFS是一种加密，而不是一般的什么权限之类的东西，这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份，那么一旦发生事故所有加密过的数据就都没救了。&
3，&我加密数据后重装了操作系统，现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧？&
这当然也是不行的，我们在前面已经了解到，跟EFS加密系统密切相关的密钥是根据每个用户的SID得来的。尽管你在新的系统中使用了相同的用户名和密码，但是这个用户的SID已经变了。这个可以理解为两个同名同姓的人，虽然他们的名字相同，不过指纹绝不可能相同，那么这种想法对于只认指纹不认人名的EFS加密系统当然是无效的。&
4，&被EFS加密过的数据是不是就绝对安全了呢？&
当然不是，安全永远都是相对的。以被EFS加密过的文件为例，如果没有合适的密钥，虽然无法打开加密文件，不过仍然可以删除（有些小人确实会这样想：你竟然敢加密了不让我看！那好，我就删除了它，咱们都别看）。所以对于重要文件，最佳的做法是NTFS权限和EFS加密并用。这样，如果非法用户没有合适的权限，将不能访问受保护的文件和文件夹；而即使拥有权限（例如为了非法获得重要数据而重新安装操作系统，并以新的管理员身份给自己指派权限），没有密钥同样还是打不开加密数据。&
5，&我只是用Ghost恢复了一下系统，用户账户和相应的SID都没有变，怎么以前的加密文件也打不开了？&
这也是正常的，因为EFS加密所用到的密钥并不是在创建用户的时候生成，而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件，那你的系统中就没有密钥，而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件，并用Ghost恢复系统到创建镜像的状态，解密文件所用的密钥就丢失了。因此这个问题一定需要主意！
说白了，这个证书就和显示生活中的生份证一样！
比如：你的存折丢了，就要凭它来挂转！
哎，都09年了，还是没有解决的办法啊，痛苦
快试试吧，可以对自己使用挽尊卡咯~◆◆
首先查看加密文件所使用的证书:在加密的文件上右键-属性-常规-高级-详细信息;其实一般就是系统生成的个人证书; 开始-运行-MMC - 添加删除单元 - 证书 - 我的个人账户 - 打开证书管理页面;个人- 证书-找到 预期目的是加密文件系统的证书 - 右键 - 所有任务 - 导出 - 导出密钥;
快试试吧，可以对自己使用挽尊卡咯~◆◆
导出后呢，文件就可以打开了吗，我试了，还是不行
快试试吧，可以对自己使用挽尊卡咯~◆◆
回复：4楼我知道这是一个高水平的解密软件打开未见的
2014年啦仍然没人破解这个哎
目前时间日 13:16:53还是没人打开
日，然而还没有人打开
日，还是破解不了
我这十五字十分的标准不信你数数
又半年了，我也是这个问题，2010的加的密，后来重装系统没务备份，到现在也没有办法打开
到现在也办法呀
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或jimshu 的BLOG
用户名：jimshu
文章数：339
评论数：174
访问量：970798
注册日期：
阅读量：5863
阅读量：12276
阅读量：324825
阅读量：1034366
51CTO推荐博文
根据网上流传的资料，EFS（Encrypting&File&System）EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File&Encryption&Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。对于EFS，首先要了解以下概念。&（1）安全标识符（SID，“安全ID”）：是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时，windows系统将给每一个帐户发布一个唯一的&SID。Windows&中的内部进程通过帐户的&SID&而不是帐户的名字来区别账户。相当于人的身份证号码，一些严肃的场合，我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是，如果一个账户被错误删除了，即使重建一个相同名字的账户，其SID也和被删除账户的SID不同，对计算机来说，这仍然是两个不同的账户。然后，我们了解一下公钥和私钥。（2）公钥（public&key）：EFS中公钥是一个运算函数，其作用就是用来加密数据，就相当于一把锁。这把锁可以放置在internet上，让别人使用这把锁来加密数据然后传给锁的主人。任何人都可以看到并使用这把锁来加密数据，但是如果没有锁的钥匙就打不开锁，因此看不到锁住以后的数据内容，所以公钥暴露在公共场所并没有安全性的问题。（3）私钥（private&key）：对应公钥一对一对存在，其实就是用来开锁的钥匙。私钥不能随便泄露，如果私钥被盗或者被复制，那么别人使用你的公钥加密的数据如果传输时被拦截，就很容易被解密了。同理，如果我们自己的私钥损坏或者丢失了，那么我们同样不能打开这把锁，也即是不能对接收到的别人已经用我的公钥加密了的数据进行解密了，这种情况下，我们必须重新购买锁和对应的钥匙，也就是需要重新申请一对公钥和私钥。EFS使用一种名为FEK（文件加密密钥：File&Encryption&Key）的对称密钥。FEK即用于加密，也用于解密。（1）EFS在加密文件时，会给文件加上专用锁，并生成由伪随机数组成FEK，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后EFS使用了用户的公钥加密FEK，并在加密文件的文件头的数据加密区（DDF）中保存加密的FEK。（2）EFS在解密文件时，首先取加用户的私钥，然后用它解密文件头DDF中的FEK，最后用该FEK解密文件。EFS能在文件头中保存多个DDF，这样将允许多个用户对文件进行加密，每个DDF都包含相同的密钥，都经过不同用户的公钥加密过。接下来，我们不禁要问：公钥和私钥都存在哪个位置呢？（1）公钥Windows系统用公钥加密，公钥保存在账户的配置文件中：C:\Documents&and&Settings\用户名\Application&Data\Microsoft\SystemCertificates\My\Certificates看起来公钥与EFS解密无关，因为它只负责加密。（2）私钥EFS用公钥加密，切换用户登录后，因为不同的用户私钥不一样，所以不能解密，当然就不能打开其他用户的EFS文件了。那么，用户EFS使用的私钥肯定是和用户的SID相对应的。官方文件是这样说的：“EFS文件使用前不需要解密。当向磁盘存储和从磁盘读取字节时，加密和解密透明地完成。EFS&自动检测加密文件，并从系统密钥存储区定位用户密钥。”因此，可以推测私钥存放在Documents&and&Settings文件夹的用户下面。经过检测，密钥存放在C:\Documents&and&Settings\用户名\Application&Data\Microsoft\Crypto\RSA下。解密EFS需要以下2个东东：1、&该SID的私钥，例如在这个路径下：C:\Documents&and&Settings\Administrator\Application&Data\Microsoft\Crypto\RSA\S-1-5-21----500\2、该SID的密码因此，在没有事先备份EFS证书的前提下想要解密EFS，需要上述2个东东。对于第一个东东，如果C盘已经格式化了且没有备份，那就放弃吧。目前我还没找到根据SID重新生成私钥的方法。对于第二个东东，如果忘记了密码，可以用SAMinside工具软件，破解Windows密码。SAMinside为一款俄罗斯人出品Windows密码恢复软件，支持Windows&NT/2000/XP/Vista操作系统。SAMinside需要事先拿到Windows的SAM文件，一般位于C:\WINDOWS\system32\config\，一共需要2个文件：SAM、System&。屡试不爽。也有网友说LC4、LC5工具软件也可以破解密码，我还没试过。在拿到上述2个东东之后，就可以用Advanced&EFS&Data&Recovery这个工具软件去解密EFS文件。注意：这个工具的未注册版只能破解EFS文件的前1K字节。实际案例：我的C盘在重装系统之前用GHOST做了镜像，装完系统后发现D盘还有15GB的文件里处于EFS控制下，无法打开这些文件。于是从GHOST镜像里把C盘的上述所需的文件都释放出来，然后用上述工具处理。最终，15GB文件被挽救过来了，好激动呀。注意1：安装上述工具时，防病毒软件通常都会报警，请注意分辨安装程序包是否真正存在病毒或木马。注意2：在&Windows&7&中，EFS&的体系结构已更改为合并椭圆曲线加密（ECC），支持以混合模式操作&ECC&和&RSA&算法。这样便为使用以前版本的&Windows&中支持的算法创建的&EFS&文件提供了向后兼容性。EFS&的策略设置位于本地组策略编辑器的“本地计算机策略\Windows&设置\安全设置\公钥策略\加密文件系统”下。&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)}