EFS加密技巧的概念剖析及一次解密经由






EFS(Encrypting File System，加密文件系统)加密是一种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，而后将利用FEK和数据扩大尺度X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥加密FEK，并把加密后的FEK存储在统一个加密文件中。而在访问被加密的文件时，系统首先应用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先天生密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依附于域节制器，否则它就依赖于本地机器。说起来无比庞杂，但是实际使用进程中就没有那么麻烦了。EFS加密的用户验证过程是在登录Windows时进行的，只有登录到Windows，就可以打开任何一个被授权的加密文件。换句话说，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完整容许的，并不会受到任何限度。而其他非受权用户试图访问你加密过的数据时，就会收到“访问谢绝”的过错提示。


　　我的电脑个别来说不会有别人应用，而我常常重装系统，又勤得备份密钥，所以我素来没有使用过Windows 2003或者Windows XP的EFS功效。今天读到了一些对于EFS密钥不备份因此数据无奈恢复的求助帖子，所以忽然想出一个点子想试着解开EFS的加密。

　　我结构的实验环境是在Windows XP Pro SP2系统中的一块NTFS磁盘上树立一个test文件夹，启用EFS加密。文件夹中是一个加密过的文本文件1.txt。当初我先用另一个帐户去尝试读取这个文件，然后在第二个系统中(相称于重装系统没有证书的情况)再次尝试读取这个文件。

　　第一步，启用我系统中的GUEST帐户。

　　此时从资源管理器中是不能访问test文件夹的。

　　打开cmd，在义务管理器中终止explorer.exe过程，打开PsExec尝试用system登录。

　　失败。提醒进程无法创立。看来全县不够。

　　回到管理员帐户，新建一个管理员帐户test并以之登录。

　　在test帐户中运行资源管理器能够拜访test文件夹，然而不能打开1.txt加密文件。

　　此时再用上法以system登录。此时打开文件为乱码!

　　运行IceSword.exe，在 文件 中定位test文件夹。右键抉择1.txt，复制到桌面，文件名任意，后缀不变。

　　双击翻开文件，畸形读出!第一步破解EFS胜利!

　　第二步，登陆Windows Server 2003 SP1体系(治理员身份)。

　　使用上述方法再次复制1.txt到桌面，打开后呈现乱码，跟system读取时情况一致。第二种尝试失败。

　　总结：

　　本方法意思：

　　泛亚娱乐|仅适用于察看系统中其余人使用EFS加密过的文件(请读者务必不要做守法及迫害别人权力的事!)，在系统重装或私钥丧失情形下的文件恢复有待进一步地摸索。

　　本方法使用的两个软件：

　　PsExec IceSword。前者是国外十分风行的远程把持软件，命令行界面。后者则是PJF制造的海内有名暗藏进程观察软件冰刃。

　　本办法实用前提：

　　1. 须要足够运行上述两个软件的权限(假如可以联合net user命令的话应当不难，这只是一个小提示，读者还请自律^_^)。

　　2. 系统内还有该EFS加密文件对应的密钥(这一条件是基于我的初步揣测)

　　本方式成功的起因浅析：

　　1. 利用了system帐户特有的内核级权限，这可能是可能读取管理员或其他正常用户密钥的条件。

　　2. IceSword特有的读取加密文件的泛亚娱乐技术:yuan01.bc88.info/fei。关于这一点，是我最百思不得其解的处所，真盼望能听到PJF亲身论述一下这是如何实现的0.0。