admin 管理员组

文章数量: 1086019


2024年12月20日发(作者:powershell打开文件)

重装系统后,文件名变成绿色的一个可试方法

如果你的文件勾选过 加密以便保护数据 ,而你又没有备份密匙,那么在重装

系统后,这些文件将无法打开

正好朋友也遇到这个问题 在网络上搜索了一下 发现一篇BLOG 于是

分享

ﻫ来自:ﻫﻫEFS加密的一线生机-加密帐户被删的补救方

法 引子:看到新闻组里那么多网友“哭诉”EFS问

题,早就想写一篇EFS的文章。但是苦于手头资料太少,很多概念尚未圆润贯通,

匆匆草就之下,这误人子弟的罪责,怕是逃不过的。ﻫ

ﻫﻫ声明:本文参考了国外一篇“牛”文,由于要掌握这篇国外文章,读者必须具备

一些NTFS底层知识,否则难窥其堂奥。故此笔者四处网罗资料,加上穿凿附会,

希望能帮助读者诸君更方便省时地领会这篇文章,舞好EFS这把双刃剑。文章

链接如下:ﻫ

ﻫ这里需要提醒用户注意:本文并非为了证明微软的EFS存在 “漏洞”,也不是

专为马大哈们准备的包治百病的“后悔药”。事实上如果没有导出EFS证书和私

钥,那么一旦删除用户、或者重装系统,EFS加密文件就不属于你了。

ﻫﻫ提示ﻫ本文适用于Windows XP Professional单机环境,并假设没有恢复代

理(DRF)和共享访问帐户(多个DDF)。ﻫ

任务描述ﻫ

如果某个用户把自己的登录帐户删除,那么其他用户将无法访问其EFS加密文

件。更可恶的是,一旦公司里的某个用户心怀怨气,恶意加密了本属于别的用户的

重要文件,将会导致严重问题。一般情况下,这些EFS加密文件已经被判了死刑,

但是实际上只要满足以下条件的话,我们还是可以在末日来临之前打开逃生的天

窗:ﻫﻫ(1) 必须知道该被删帐户的密码。

(2) 该被删帐户的配置文件必须存在。如果使用“本地用户和组”管理单元删

除帐户,则配置文件保留的机会很大,如果使用“用户帐户”控制面板删除帐户,

则有一半机会保留配置文件。如果配置文件不幸被删,则只能祈祷可以借助Eas

y Recovery之类的数据恢复工具进行恢复。ﻫ

可能有些朋友会觉得这两个条件比较苛刻,此处卖个关子先……ﻫ

EFS加密原理ﻫ

大家知道,EFS加密实际上综合了对称加密和不对称加密:

(1) 随机生成一个文件加密密钥(叫做FEK),用来加密和解密文件。

ﻫ(2) 这个FEK会被当前帐户的公钥进行加密,加密后的FEK副本保存在文件$E

FS属性的DDF字段里。

ﻫ(3) 要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK去

解密文件。

ﻫﻫ看到这里,似乎EFS的脉络已经很清晰,其实不然,这样还不足于确保EFS的

安全性。系统还会对EFS添加两层保护措施:

(1) Windows会用64字节的主密钥(Master Key)对私钥进行加密,加密后的

私钥保存在以下文件夹:

ﻫ%UserProfile%Application DataMicrosoft\CryptoRSA\

ID

提示ﻫWindows系统里的各种私有密钥,都用相应的主密钥进行加密。Windows

Vista的BitLocker加密,也用其主密钥对FVEK(全卷加密密钥)进行加密。

ﻫﻫ(2) 为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码

派生而来),加密后的主密钥保存在以下文件夹:

%UserProfile%\Application Data\MicrosoftProtect

SID

整个EFS加密的密钥架构如图1所示。

图1ﻫ提示ﻫEFS密钥的结构部分,参考自《Windows Internals 4th》的第12

章。

回到“任务描述”部分所述的两个条件,现在我们应该明白原因了:

(1) 必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加

密密钥是由帐户密码派生而来的。

ﻫ提示

难怪Windows XP和2000不同,管理员重设帐户密码,也不能解密EFS文件。

(2) 该被删帐户的配置文件必须存在:加密后的私钥和主密钥(还包括证书和公

钥),都保存在配置文件里,所以配置文件万万不可丢失,否则就会彻底“鬼子

不能进村”。重装系统后,原来的配置文件肯定被删,这时候当然不可能恢复EFS

文件。ﻫﻫ

可能有用户会想,只需新建一个同名的用户帐户,然后把原来配置文件复制给新

帐户,不就可以解密EFS文件了?原因在于帐户的SID,因为新建用户的SID不

可能和老帐户一样,所以常规方法是不可能奏效的。我们必须另辟蹊径,让系统

再造一个完全一样的SID!

恢复步骤


本文标签: 加密 帐户 密钥 用户 文件