winXP系統文件夾加過密恢復系統后拒絕訪問的解決方法
2019-11-28 03:24:06
供稿:網友
[利用NTFSDOS(最新的可以���,已試過可以,建立刪除文件)或者LINUX的軟件可以讀寫NTFS分區�。把那些文件考到FAT32的分區,就可以拉����。FAT32是沒有加密功能的。EFS加密只有在NTFS格式中才有����。FAT32是沒有的。一但復制到了FAT32格式上就自動失去���。]
上面的是來自網絡的朋友的方法,具體未測試.可以試試,要是自己不是很熟悉電腦的話,可以請熟悉的朋友幫忙試試.
如果是標題的那種是屬于EFS加密了,基本上來說,是不可能恢復了.因為破解需要安全證書.
網上說的EFS破解的基本上都是試圖還原系統盤,希望在里面能夠找到加密時系統的信息.
然后再進行破解.
附上網上找到的一些方法,可以自行嘗試.
EFS加密的一線生機-加密帳戶被刪的補救方法 (原文題目)
引子:看到新聞組里那么多網友“哭訴”EFS問題���,早就想寫一篇EFS的文章。但是苦于手頭資料太少����,很多概念尚未圓潤貫通,匆匆草就之下�,這誤人子弟的罪責,怕是逃不過的�。
聲明:本文參考了國外一篇“牛”文,由于要掌握這篇國外文章���,讀者必須具備一些NTFS底層知識�,否則難窺其堂奧�。故此筆者四處網羅資料,加上穿鑿附會�,希望能幫助讀者諸君更方便省時地領會這篇文章���,舞好EFS這把雙刃劍。文章鏈接如下:
http://www.beginningtoseethelight.org/efsrecovery/index.php
這里需要提醒用戶注意:本文并非為了證明微軟的EFS存在 “漏洞”���,也不是專為馬大哈們準備的包治百病的“后悔藥”�。事實上如果沒有導出EFS證書和私鑰����,那么一旦刪除用戶、或者重裝系統���,EFS加密文件就不屬于你了�。
提示 本文適用于Windows XP Professional單機環境�,并假設沒有恢復代理(DRF)和共享訪問帳戶(多個DDF)�。
任務描述
如果某個用戶把自己的登錄帳戶刪除,那么其他用戶將無法訪問其EFS加密文件���。更可惡的是�,一旦公司里的某個用戶心懷怨氣����,惡意加密了本屬于別的用戶的重要文件����,將會導致嚴重問題���。一般情況下���,這些EFS加密文件已經被判了死刑,但是實際上只要滿足以下條件的話����,我們還是可以在末日來臨之前打開逃生的天窗:
(1) 必須知道該被刪帳戶的密碼。
(2) 該被刪帳戶的配置文件必須存在�。如果使用“本地用戶和組”管理單元刪除帳戶,則配置文件保留的機會很大����,如果使用“用戶帳戶”控制面板刪除帳戶,則有一半機會保留配置文件����。如果配置文件不幸被刪,則只能祈禱可以借助Easy Recovery之類的數據恢復工具進行恢復�。
可能有些朋友會覺得這兩個條件比較苛刻,此處賣個關子先……
EFS加密原理
大家知道�,EFS加密實際上綜合了對稱加密和不對稱加密:
(1) 隨機生成一個文件加密密鑰(叫做FEK)����,用來加密和解密文件����。
(2) 這個FEK會被當前帳戶的公鑰進行加密,加密后的FEK副本保存在文件$EFS屬性的DDF字段里�。
(3) 要想解密文件,首先必須用當前用戶的私鑰去解密FEK�,然后用FEK去解密文件。
看到這里����,似乎EFS的脈絡已經很清晰,其實不然���,這樣還不足于確保EFS的安全性���。系統還會對EFS添加兩層保護措施:
(1) Windows會用64字節的主密鑰(Master Key)對私鑰進行加密���,加密后的私鑰保存在以下文件夾:
%UserProfile%/Application Data/Microsoft/Crypto/RSA/SID
提示 Windows系統里的各種私有密鑰����,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密�,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。
(2) 為了保護主密鑰����,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密后的主密鑰保存在以下文件夾:
%UserProfile%/Application Data/Microsoft/Protect/SID
整個EFS加密的密鑰架構如圖1所示����。
圖1
提示 EFS密鑰的結構部分,參考自《Windows Internals 4th》的第12章����。
回到“任務描述”部分所述的兩個條件,現在我們應該明白原因了:
(1) 必須知道該被刪帳戶的密碼:沒有帳戶密碼����,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的���。
提示 難怪Windows XP和2000不同�,管理員重設帳戶密碼���,也不能解密EFS文件�。
(2) 該被刪帳戶的配置文件必須存在:加密后的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里���,所以配置文件萬萬不可丟失�,否則就會徹底“鬼子不能進村”���。重裝系統后���,原來的配置文件肯定被刪,這時候當然不可能恢復EFS文件����。
可能有用戶會想,只需新建一個同名的用戶帳戶�,然后把原來配置文件復制給新帳戶,不就可以解密EFS文件了���?原因在于帳戶的SID����,因為新建用戶的SID不可能和老帳戶一樣�,所以常規方法是不可能奏效的�。我們必須另辟蹊徑����,讓系統再造一個完全一樣的SID����!
恢復步驟
為了方便描述,這里假設被刪帳戶的用戶名為Admin����,Windows安裝在C盤。
1.再造SID
注意 本方法取自“聲明”部分提到的那篇文章�。
首先確認被刪帳戶的SID,這里可以進入以下文件夾:
C:/Documents and Settings/Admin/Application Data/Microsoft/Crypto/RSA
在其下應該有一個以該被刪帳戶的SID為名的文件夾����,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID為1004)
現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的�。
在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account注冊表項的F鍵值所確定的���。F鍵值是二進制類型的數據����,在偏移量0048處的四個字節,定義下一個帳戶的RID�。那么也就是說,只需要修改0048處的四個字節�,就能達到目的(讓新建帳戶獲得1004的RID)
確認好以后,別忘記把Admin帳戶的配置文件轉移到別的地方����!
(1) 默認情況下,只有system帳戶才有權限訪問HKEY_LOCAL_MACHINE/SAM�,這里在CMD命令提示符窗口,運行以下命令���,以system帳戶身份打開注冊表編輯器:
pexec -i -d -s %windir%/regedit.exe
提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(2) 定位到HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account注冊表項����,雙擊打開右側的F鍵值�。
(3) 這里要說明一下,Windows是以十六進制����、而且以反轉形式保存下一個帳戶的RID。什么意思呢���?也就是說���,如果是1004的RID����,對應十六進制就是03EC����,但是我們必須把它反轉過來變成EC03���,再擴展為4個字節�,就是EC 03 00 00����。
所以,我們應該把F鍵值的0048偏移量處�,把其中四個字節改為“EC 03 00 00”,如圖2所示�。
圖2
(4) 重要:別忘了重啟計算機!
(5) 重啟以后���,新建一個同名帳戶Admin����,它的SID應該和以前是完全一樣。如果不相信的話�,可以借助GetSID或者PsGetSID等工具測試一下。
2.“破解”EFS
接下來的方法就非常簡單了����,用新建的Admin帳戶身份登錄系統,隨便加密一個文件���,然后注銷���,用管理員帳戶登錄系統,把原來保留的配置文件復制到C:/Documents and Settings/Admin文件夾下����。
再用Admin帳戶登錄系統,現在可以解密原來的EFS文件了���。
疑難解答
1.如果已經重裝系統�,那怎么辦����?
“聲明”部分提到的那篇文章里提到,如果還記得原來帳戶的密碼����,并且配置文件沒有被刪除的話���,還有希望。這時候可以借助sysinternals的NEWSID工具把系統的計算機SID重設為原來的值����,再用前面描述的方法構造所需的RID�,這樣就可以獲得所需的帳戶SID。剩余步驟完全一樣���。
http://www.sysinternals.com/Utilities/NewSid.html
2.有用戶曾經遇到這樣的問題:登錄系統時收到提示說密碼過期����,需要重設�,重設密碼登錄后發現打開EFS文件。
KB890951提到這個問題���。其解釋是因為在修改密碼時�,系統還沒有加載配置文件(有點語焉不詳)�,原文如下:
This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
配置文件和EFS有何相干?看完本文���,大家應該知道�,EFS的私鑰和主密鑰都是保存在配置文件里的。由于配置文件沒有加載����,所以主密鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導致主密鑰無法正確解密�,從而無法解密私鑰和FEK。這就是問題的真正原因����。
該KB提供了一個內部補丁,可以解決這個問題���。KB890951的鏈接如下:
http://support.microsoft.com/kb/890951
3.有關公鑰的問題
為了容易理解����,筆者故意忽略了公鑰���。公鑰保存也保存在帳戶的配置文件里:
%UserProfile%/Application Data/Microsoft/SystemCertificates/My/Certificates
在EFS恢復的操作中���,必須確保公鑰也要復制到新帳戶的配置文件里。盡管看起來公鑰與EFS解密無關(它負責加密)�。
原來���,加密文件$EFS屬性的DDF字段里除了有帳戶SID和加密的FEK副本外,還有公鑰的指紋信息(Public Key Thumbprint)和私鑰GUID信息(私鑰的某種散列值)����。
系統在掃描加密文件$EFS屬性中的DDF字段時,根據用戶配置文件里的公鑰中所包含的公鑰指紋和私鑰GUID信息����,當然還有帳戶的SID,來判斷該帳戶是否具有對應的DDF字段����,從而判斷該用戶是否屬于合法的EFS文件擁有者���。
所以公鑰也很重要�。
當然公鑰是可以“偽造”的(可以偽造出所需的公鑰指紋和私鑰GUID)���,以欺騙EFS系統�,具體方法可以參考國外的那篇原稿�,此處不再贅述。
加強EFS的安全
由于EFS把所有的相關密鑰都保存在Windows分區�,所以這可能給EFS帶來一定的安全隱患���。目前有一些第三方工具號稱可以破解EFS,這些工具首先攻擊SAM配置單元文件�,嘗試破解帳戶密碼,從而破解帳戶密碼→主密鑰的加密密鑰→主密鑰→EFS私鑰→FEK的“密鑰鏈”�。
為了防止攻擊者窺視我們的EFS文件,可以借助以下三種方法:
1.導出刪除私鑰
可以用證書向導導出EFS加密證書和私鑰�,并且在“證書導出向導”對話框里選擇刪除私鑰,如圖3所示���。
圖3
刪除私鑰以后���,攻擊者就沒有辦法訪問EFS加密文件了,而我們需要訪問時����,只需導入先前備份的證書和私鑰即可。
2.System Key提供額外的保護
System Key可以對SAM配置單元文件和EFS私鑰提供額外保護���。Windows XP的System Key默認保存在本地
注意:
首先要弄清你使用的是EFS加密還是ACL用戶權限控制���。如果選擇的是“將這個文件夾作為專用”,那么使用的是ACL用戶權限控制���,解除ACL用戶權限控制方法如下:打開“控制面板→文件夾選項”�,在查看標簽頁下清除“使用簡單共享”前面的復選項,點擊確定按鈕�。然后右鍵點擊C:/Documents and Settings/用戶名/ My Documents,選擇安全選項卡���,在組和用戶里面把自己的賬戶添加進去即可����。如果使用的是“屬性→高級→加密以便保護數據”�,那么你使用的是EFS加密技術。EFS加密技術用數字證書對文件進行加密����。要解開EFS加密���,需要使用加密時進行操作的賬戶登錄���,然后進行加密操作的逆操作。如果重新安裝過系統�,那么在未導入先前進行加密操作時系統創建的證書的情況下,是無法進行解密操作的����。
