分析针对EFS加密文件无法打开的情况数据恢复的解决方式

(一)故障类型:EFS加密文件无法打开
(二)典型特征:

1.重装系统后以前加密的文件无法打开
2.密钥文件丢失导致加密文件无法打开

(三)损坏程度星级评价:★★★★
[故障原理及恢复思路]

在使用EFS加密一个NTFS文件时,系统首先会生成一个伪随机数FEK (File Encryption Key,文件加密钥匙),然后用FEK加密数据并对文件进行原位覆写。随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在加密文件的$EFS属性中。

而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥时(统称为密钥),则会首先生成密钥,然后加密数据。如果用户登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。

用户私钥是解密EFS文件的关键,私钥保存于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% (用户的SID为安全标识符,相当于用户的×××号码,当创建一个帐号时,系统为其分配一个唯一的SID编号)。

为了保护私钥,Windows用主密钥对私钥进行加密,主密钥位于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%,然后再用用户密码生成的密钥对主密钥进行加密。

这样就形成了“用户密码->主密钥->私钥->FEK->EFS加密文件”加密链。所以如果想完整地获得EFS加密数据,那么必须得到用户密码、主密钥和私钥。

(四)恢复流程
1.检测流程:

(1)查看现有系统占用空间;
(2)查看现在有mft文件目录数占用空间。
2.实施流程:
(1)查找或重组加密FEK的私钥;
(2)查找可重组加密私钥的主密钥;
(3)根据用户提拱的用户密码进行校验匹配,解密用户文件;
(4)对解密出来的文件进行逻辑分析和校验,迁移出用户所需数据。
3.验收流程:
(1)对已迁移出来的所有数据做属性统计,从文件数量
和容量等方面确保用户所需数据已全部迁移成功;
(2)对已迁移出来的所有数据做完整性验证,确保
文件在目录结构及底层逻辑等方面正确无误;
(3)对用户指定的关键数据文件进行针对性校验,确保用户关
键数据成功恢复。
(五)恢复的可靠性分析及时间预估:
在大多数案例中此类故障主要是重装系统导致密钥丢失造成的,由于重装系统将写入大量文件到系统分区,密钥被覆盖的几率相对较高,这也是导致此类故障恢复成功率较低的重要原因,一般此类故障成功率在50%左右,通常所需时间为1-3个工作日。

[小贴士]
(一)通过EFS加密文件后应该及时备份密钥并妥善保存;
(二)出现此类故障后应该立刻停止继续使用计算机,以降低密钥被覆盖的几率。

原文地址:https://blog.51cto.com/sun510/2424445

时间: 2024-11-02 14:30:28

分析针对EFS加密文件无法打开的情况数据恢复的解决方式的相关文章

EFS加密文件无法打开

(一)故障类型:EFS加密文件无法打开 (二)典型特征: 1.重装系统后以前加密的文件无法打开 2.密钥文件丢失导致加密文件无法打开 (三)损坏程度星级评价:★★★★ [故障原理及恢复思路] 在使用EFS加密一个NTFS文件时,系统首先会生成一个伪随机数FEK (File Encryption Key,文件加密钥匙),然后用FEK加密数据并对文件进行原位覆写.随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在加密文件的$EFS属性中. 而在访问被加密的文件时,系统首先利用当前用户的私钥解

【绝对原创】最新研究成果,EFS加密文件真的可以解密!各位不要放弃哈~

我是一名正在读计算机专业的博士,前一段时间花费了几个月研究EFS解密技术,终于成功了,现在总结一下,给各位一个启示~ 关于EFS加密: EFS(Encrypting File System,加密文件系统)是Windows系统特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性.但是,如果不小心重装系统或损坏硬盘等将导致EFS加密文件无法打开,无法复制,但可以删除.EFS加密解密都是透明完成,如果用户加密了一些数据,那么其对这些数据的访问将

【技术共享】微软的EFS加密 终于可以解密了~

绝对原创]最新研究成果,EFS加密文件真的可以解密!各位不要放弃哈~ 我是一名正在读计算机专业的博士,前一段时间花费了几个月研究EFS解密技术,终于成功了,现在总结一下,给各位一个启示~ 关于EFS加密: EFS(Encrypting File System,加密文件系统)是Windows系统特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性.但是,如果不小心重装系统或损坏硬盘等将导致EFS加密文件无法打开,无法复制,但可以删除.EFS

Windows系统EFS加密/解密原理介绍

EFS加密是windows系统自带的加密方式,一个系统用户对文件加密后,只有以该用户的身份登陆才能读取该文件.EFS加密的文件和文件夹名字颜色是绿色,或者在该文件或文件夹的高级属性是加密属性.这样做在很大程度尚提高了数据的安全性,但是如果秘钥文件丢失或者重装系统就会导致加过密的文件不能打开,今天的教程主要介绍的就是如果电脑使用ESF加密后却因为其他原因导致无法打开文件,我们应该怎么解密. EFS加密原理介绍 要想解密,我们首先要了解是怎么加的密,下面介绍EFS加密原理. 当我们使用EFS对一个N

数据恢复软件恢复的文件无法打开

随着拍摄机器的越来越多样化以及品牌化,各种高中档摄像机使用频率越来越高,在用户使用的过程中难免会出现误操作或其他原因导致数据的丢失.随着技术的增长以及普及越来越多的数据恢复软件出现在了大家眼前,一般出问题之后大家会通过网络下载各种数据恢复软件对于丢失的数据进行尝试恢复,但是有很多朋友却发现软件明明扫描到了我需要的数据为什么恢复出来之后却无法正常播放以及使用呢?下面我们详细讲解一下为什么一般的数据恢复软件恢复出来的数据有些无法使用的情况. 1 硬件存在坏道,文件实际数据正好存在坏道上. 解决方法:

.jar文件无法打开

故障现象:.jar文件无法打开 平台:win7pro 64bit 解决办法:根据机器的操作系统先下载最新的相对应的java控件并安装,若仍无法打开,则需要在注册表中修改键值 在注册表编辑器中,找到"HKEY_CLASSES_ROOT\Applications\javaw.exe\shell\open\command",在其中文件打开命令中加入参数"-jar"(无引号),修改后的数值类似:""C:\Program Files\Java\jre7\b

NAT的全然分析及其UDP穿透的全然解决方式

NAT的全然分析及其UDP穿透的全然解决方式 一:基本术语 防火墙 防火墙限制了私网与公网的通信,它主要是将(防火墙)觉得未经授权的的包丢弃,防火墙仅仅是检验包的数据,并不改动数据包中的IP地址和TCP/UDPport信息. 网络地址转换(NAT) 当有数据包通过时,网络地址转换器不仅检查包的信息,还要将包头中的IP地址和port信息进行改动.以使得处于NAT之后的机器共享几个仅有的公网IP地址(一般是一个).网络地址转换器主要有两种类型. P2P应用程序 P2P应用程序是指,在已有的一个公共s

zip伪加密文件分析(进阶版)

作者近日偶然获得一misc题,本来以为手到擒来,毕竟这是个大家都讨论烂了的题,详情访问链接http://blog.csdn.net/ETF6996/article/details/51946250.既然作为进阶版,当然得对的起这括号里三个字,那道题我断断续续研究了两天,才勉强算是破解了.不废话了,直入主题. 对于普通的zip文件有了解的应该都认得下面这张图片: 对于其中各个字段的含义请大家访问首行提供的链接学习,对于了解过的小伙伴接着往下看,以下是题目中的截图: 仔细点研究会发现这里有五个50

[转载] TLS协议分析 与 现代加密通信协议设计

https://blog.helong.info/blog/2015/09/06/tls-protocol-analysis-and-crypto-protocol-design/?from=timeline&isappinstalled=0 最近发现密码学很有意思,刚好还和工作有点关系,就研究了一下,本文是其中一部分笔记和一些思考. 密码学理论艰深,概念繁多,本人知识水平有限,错误难免,如果您发现错误,请务必指出,非常感谢! 本文禁止转载 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重