【技术共享】微软的EFS加密 终于可以解密了~

绝对原创】最新研究成果,EFS加密文件真的可以解密!各位不要放弃哈~

我是一名正在读计算机专业的博士,前一段时间花费了几个月研究EFS解密技术,终于成功了,现在总结一下,给各位一个启示~

关于EFS加密:

EFS(Encrypting File System,加密文件系统)是Windows系统特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。但是,如果不小心重装系统或损坏硬盘等将导致EFS加密文件无法打开,无法复制,但可以删除。EFS加密解密都是透明完成,如果用户加密了一些数据,那么其对这些数据的访问将是完全允许的, 并不会受到任何限制,因此,文件被EFS加密后并不会被察觉,只有重装系统后才发现,但为时已晚。值得注意的是,如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。

判断是不是EFS加密最简单的办法就是看文件的颜色,如果文件名为绿色,肯定是EFS加密。如果颜色正常,也可以在文件上点击鼠标右键,选择“属性”,打开属性对话框,然后在常规选项卡上点击“高级”按钮,打开高级属性对话框,如果“加密内容以便保护数据”这个选项被选中,肯定是EFS加密。

EFS是一种公钥加密,在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。

在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。文件的加密和解密都需要密钥的参与,而密钥分为公钥和私钥两种。加密文件的时候使用公钥,解密文件的时候则使用相对应的私钥。

解密EFS加密文件有两种情况:

1) 备份了之前系统的相关文件

如果你在重装系统前备份了"C:\Documents and Settings\<用户名>\Application Data\Microsoft\"这个文件夹的话(<用户名>指的是你之前系统的用户名),恭喜你,你的EFS文件有救了(可以联系我帮你解密QQ77121335)!否则请看另一种情况。

2) 之前的系统文件没备份

如果你在重装系统前没有备份任何文件,也不要放弃,只要你的数据还在硬盘,就一定能找回,只不过是时间的问题(通常需要几十分钟,分区越大时间越久),这个时候一定要记住:不要再对硬盘进行任何操作,不要再次重装系统,不要开机,不要拷贝文件,等待专业人员,否则你很可能覆盖掉有用的数据,造成EFS密钥丢失,永远都不可能解密了。找回密钥文件后,恭喜你,你的EFS文件可以解密了!QQ77121335

常见问题解答:

  1. 为什么打开加密过的文件时没有需要我输入密码?
    这正是EFS加密的一个特性,同时也是EFS加密和操作系统紧密结合的最佳证明。因为跟一般的加密软件不同,EFS加密不是靠双击文件,然后弹出一个对话框,然后输入正确的密码来确认的用户的;EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦你用适当的账户登录,那你就能打开相应的任何加密文件,并不需要提供什么额外的密码。

2.我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗?
这当然是不可能的了。很多人尝试过各种方法,例如把NTFS分区转换成FAT32分区;用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等,不过这些尝试都以失败告终。毕竟EFS是一种加密,而不是一般的什么权限之类的东西,这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份,那么一旦发生事故所有加密过的数据就都没救了。

3.我加密数据后重装了操作系统,现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧?
这当然也是不行的,我们在前面已经了解到,跟EFS加密系统密切相关的密钥是根据每个用户的SID得来的。尽管你在新的系统中使用了相同的用户名和密码,但是这个用户的SID已经变了。这个可以理解为两个同名同姓的人,虽然他们的名字相同,不过指纹绝不可能相同,那么这种想法对于只认指纹不认人名的EFS加密系统当然是无效的。

4.被EFS加密过的数据是不是就绝对安全了呢?
当然不是,安全永远都是相对的。以被EFS加密过的文件为例,如果没有合适的密钥,虽然无法打开加密文件,不过仍然可以删除(有些小人确实会这样想:你竟然敢加密了不让我看!那好,我就删除了它,咱们都别看)。

5.我只是用Ghost恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了?
这也是正常的,因为EFS加密所用到的密钥并不是在创建用户的时候生成,而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件,那你的系统中就没有密钥,而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件,并用Ghost恢复系统到创建镜像的状态,解密文件所用的密钥就丢失了。因此这个问题一定需要注意!

原文地址:http://blog.51cto.com/14069425/2315599

时间: 2024-11-06 03:50:36

【技术共享】微软的EFS加密 终于可以解密了~的相关文章

【绝对原创】最新研究成果,EFS加密文件真的可以解密!各位不要放弃哈~

我是一名正在读计算机专业的博士,前一段时间花费了几个月研究EFS解密技术,终于成功了,现在总结一下,给各位一个启示~ 关于EFS加密: EFS(Encrypting File System,加密文件系统)是Windows系统特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性.但是,如果不小心重装系统或损坏硬盘等将导致EFS加密文件无法打开,无法复制,但可以删除.EFS加密解密都是透明完成,如果用户加密了一些数据,那么其对这些数据的访问将

芯片加密与芯片解密技术方法的发展史!

芯片加密与芯片解密技术方法的发展史! IC集成电路在早期,除法律和经济外,几乎没有保护措施来防止复制这些设备.例如:ROM 是用低成本的掩模技术制造的,可用EPROM 轻易复制,但后者通常要贵 3-10 倍或更多.或定制掩模ROM,那就需要很长的时间和很大的投资.工业控制器的硬件安全措施与嵌入式系统同时开始发展.40年前的可编程工业控制器是由分离的部件如 CPU,ROM,RAM,I/O 缓冲器,串口和其他通信与控制接口组成的.通用的嵌入式控制器.PCB 上的每个部件很容易辨别且极易被复制.如下图

李彦宏:数据技术共享与“圈子联合文化”

[一周要闻]李彦宏:数据的价值在于与各个行业进行结合--数据技术共享与"圈子联合文化" 一年一度的中国(深圳)IT领袖峰会于3月26日至27日在深圳五洲宾馆举行,马云.李彦宏.马化腾企业领袖和投资家共襄盛会.同样备受瞩目的,还有中国圈子联合会创始人李帅,与诸多知名企业家共同探讨中国IT行业未来的创新与发展. 峰会中,百度董事长兼CEO李彦宏从创新谈到做企业的危机感,"如果你天天觉得公司会死,公司反而会越做越大."新兴企业之多,竞争之激烈上述观点,让许多企业家都心有戚

EFS加密文件无法打开

(一)故障类型:EFS加密文件无法打开 (二)典型特征: 1.重装系统后以前加密的文件无法打开 2.密钥文件丢失导致加密文件无法打开 (三)损坏程度星级评价:★★★★ [故障原理及恢复思路] 在使用EFS加密一个NTFS文件时,系统首先会生成一个伪随机数FEK (File Encryption Key,文件加密钥匙),然后用FEK加密数据并对文件进行原位覆写.随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在加密文件的$EFS属性中. 而在访问被加密的文件时,系统首先利用当前用户的私钥解

网络安全系列之二十六 EFS加密

1.1EFS加密原理 EFS是Windows系统中所特有的一个实用功能,对于NTFS分区上的文件和数据,都可以直接使用EFS加密保存,很大程度上提高了数据的安全性. EFS加密基于公钥策略.在使用EFS加密一个文件或文件夹时,系统首先会生成一个对称密钥来加密文件或文件夹,随后系统再利用用户的公钥加密对称密钥.而在访问被加密的文件时,系统首先利用当前用户的私钥解密获得对称密钥,然后利用对称密钥解密出文件.在首次使用EFS时,如果用户还没有公钥/私钥对,则会首先生成密钥对,然后加密数据.如果系统属于

分析针对EFS加密文件无法打开的情况数据恢复的解决方式

(一)故障类型:EFS加密文件无法打开(二)典型特征:1.重装系统后以前加密的文件无法打开2.密钥文件丢失导致加密文件无法打开 (三)损坏程度星级评价:★★★★[故障原理及恢复思路]在使用EFS加密一个NTFS文件时,系统首先会生成一个伪随机数FEK (File Encryption Key,文件加密钥匙),然后用FEK加密数据并对文件进行原位覆写.随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在加密文件的$EFS属性中. 而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,

Windows系统EFS加密/解密原理介绍

EFS加密是windows系统自带的加密方式,一个系统用户对文件加密后,只有以该用户的身份登陆才能读取该文件.EFS加密的文件和文件夹名字颜色是绿色,或者在该文件或文件夹的高级属性是加密属性.这样做在很大程度尚提高了数据的安全性,但是如果秘钥文件丢失或者重装系统就会导致加过密的文件不能打开,今天的教程主要介绍的就是如果电脑使用ESF加密后却因为其他原因导致无法打开文件,我们应该怎么解密. EFS加密原理介绍 要想解密,我们首先要了解是怎么加的密,下面介绍EFS加密原理. 当我们使用EFS对一个N

EFS加密文件系统

EFS加密简介 公/私钥生成 使用EFS时,首先会生成一对公/私钥(统称为密钥):域环境中,依赖域控制器生成:否则就是自己机器. 加密过程 EFS是一种公钥加密.加密一个文件时,先生成一个伪随机数FEK(文件加密钥匙),再使用FEK进一步计算得到加密后的文件.随后利用公钥加密FEK,并把加密后的FEK存储在同一个加密文件中. 解密过程 利用当前用户的私钥解密FEK,然后用FEK解密出文件. 密钥备份 certmgr.msc 打开证书管理器 右键导出私钥,pfx文件,保存好. 恢复密钥 找到之前备

des加密解密——java加密,php解密

最近在做项目中,遇到des加密解密的问题. 场景是安卓app端用des加密,php这边需要解密.之前没有接触过des这种加密解密算法,但想着肯定会有demo.因此百度,搜了代码来用.网上代码也是鱼龙混杂,好不容易测试在php这边测试加密和解密成功了.为确保安卓app端提交过来的加密参数能够解密出来,给定安卓人员一个字符串,让他们把des加密后的字符串给我,在php这边解密.结果一看,加密出来的字符串跟我这边加密出来的结果不一致,自然是解密不出来. 要来java的des算法代码,研究加密的过程,其