EFS(Encrypting File System)是微軟NTFS文件系統(tǒng)提供的加密技術(shù)，EFS是基于公鑰策略的加密，與系統(tǒng)SID密切相關(guān)其加密強(qiáng)度非常高。在實(shí)際應(yīng)用中因?yàn)橛脩舻氖韬�，在沒有備份密鑰的情況下刪除了系統(tǒng)帳戶，忘記賬戶密碼或者重裝系統(tǒng)等導(dǎo)致無法訪問EFS加密文件。對(duì)此該怎么辦呢?直接破解EFS加密是不可能的，因?yàn)槟壳盀橹惯�沒有人能夠破解它。其實(shí)我們可以旁敲側(cè)擊，利用工具曲徑通幽來突破EFS加密。

　　1、被刪用戶的EFS加密文件

　　比如公司中某員工在離職前對(duì)數(shù)據(jù)進(jìn)行了EFS加密，然后刪除了當(dāng)前用戶使得其他員工無法打開這些加密文件。突破這種類型EFS加密案例，我們可以創(chuàng)建一個(gè)和被刪帳戶同樣的帳戶然后通過嘗試找到被刪用戶的SID，最后將新用戶的SID修改為被刪用戶的SID欺騙系統(tǒng)突破EFS加密。

　　假設(shè)現(xiàn)在有一個(gè)名為lw的賬戶加密了文件，但是這個(gè)賬戶已經(jīng)被刪除，現(xiàn)在需要打開lw賬戶加密的文件。具體操作步驟如下：

　　第一步：嘗試打開C:Documents and SettingslwApplication DataMicrosoftCryptoRSA看看其中是否有類似S-1-5-21-1659004503-789336058-839522115-1003的文件夾(即被刪除SID名的目錄)如圖7。如果沒有該目錄，我們就要使用恢復(fù)軟件找回。比如使用PE啟動(dòng)系統(tǒng)后運(yùn)行FinaData,單擊“文件→打開”，選擇C驅(qū)動(dòng)器進(jìn)行掃描，如呆找到被刪目錄C:Documents and Settings#lw就將它恢復(fù)到d:。

　圖1

　　第二步：打開d:Documents and SettingslwApplication DataMicrosoftCryptoRSA，可以看到其中名為S-1-5-21-1659004503-789336058-839522115-1003的目錄，也就是說lw的SID就是S-1-5-21-1659004503-789336058-839522115-1003，它的RID是1003(RID是SID字符串中具體賬戶權(quán)限標(biāo)識(shí))。

　　第三步：現(xiàn)在只要在系統(tǒng)新建一個(gè)名為 lw的賬戶，然后把它的RID標(biāo)識(shí)更改為1003即可。在Windows中，下一個(gè)新建賬戶所分配的RID是由注冊(cè)表項(xiàng)的HKEY_LOCAL_MACHINESAMSAMDomainsAccountAliases鍵值所確定的。運(yùn)行注冊(cè)表編輯器，依次展開HKEY_LOCAL_MACHINESAMSAMDomainsAccountAliases ，雙擊右側(cè)的F值，選中0048處前四個(gè)字節(jié)，然后按退格鍵刪除，接著輸入F0 03 00 00。(操作前請(qǐng)先備份注冊(cè)表)。(圖2)

　　

　　第四步：重啟電腦新建一個(gè)名為lw的賬戶，用新建的lw賬戶登錄系統(tǒng)，啟動(dòng)EFS隨意加密任一文件然后注銷(XP只有EFS加密后才會(huì)產(chǎn)生密鑰)。用XP系統(tǒng)里其他管理員賬戶登錄系統(tǒng)，把前面提取出來的配置文件改名為lw，復(fù)制到C:Docnments and Settings文件夾下替換同名文件，因?yàn)閘w登錄后無法替換正在使用的配置文件。替換完成后重啟，再次lw賬戶登錄，就可以解密原來EFS加密文件了。因?yàn)閄P已經(jīng)把這個(gè)新建的lw賬戶“誤認(rèn)”為是原來的賬戶。

　　2、重做系統(tǒng)后打開先前的EFS加密文件

　　往往是系統(tǒng)做完后才發(fā)現(xiàn)沒有備份密鑰，先前所有的EFS加密文件都打不開了，這是不少用戶的遭遇。要突破這樣的EFS加密必須有個(gè)前提：有先前EFS加密的系統(tǒng)的GHO鏡像并且知道加密時(shí)的賬戶密碼。如果是這樣我們可以重新安裝該GHO系統(tǒng)讀取其中的EFS加密文件。不過我們還可以利用工具繞過系統(tǒng)，直接從系統(tǒng)GHO鏡像中掃描此前系統(tǒng)的加密文件，然后強(qiáng)行破解。

　　第一步：在新系統(tǒng)中下載并安裝“Advanced EFS Data Recovery”(簡(jiǎn)稱AEFSDR)使用Ghost Explorer打開鏡像文件，然后單擊“編輯→全選”，把鏡像文件全部提取到任一空白分區(qū)。(圖3)

　　

　　第二步：?jiǎn)��?dòng)AEFSDR激活掃描向?qū)�，掃描分區(qū)選擇“c:”，掃描并找到密鑰后，程序會(huì)提示添加用戶名和密碼。用戶名隨意輸入，密碼則一定要輸入原來加密文件時(shí)使用的賬戶密碼。(圖4)

　　

　　第三步：?jiǎn)螕鬉dd(添加)按鈕，程序開始掃描指定NTFS分區(qū)上的加密文件，找到文件后如圖5，單擊Next(下一步)按鈕，程度提示選擇一個(gè)保存加密文件的目錄(如d:)，AEFSDR就會(huì)把提取的加密文件保存在d:AEFSDR_J_DECRYPTED目錄下如圖6。(圖5)

　　

      (圖6)

　　

　　3、忘記密碼后無法打開EFS加密文件

　　有些用戶忘記了帳戶密碼無法登錄系統(tǒng)，打不開自己EFS加密的文件，這也是很多人的遭遇。對(duì)于這樣的案例我們的解決思路是利用工具破解該用戶的帳戶密碼，然后登錄系統(tǒng)打開文件。當(dāng)然還有個(gè)前提:系統(tǒng)中有多用戶，賬戶密碼設(shè)置比較簡(jiǎn)單的賬戶，并且賬戶沒有被刪除。如果滿足這幾個(gè)條件，我們可以通過下面的方法進(jìn)行突破。

　　第一步：在系統(tǒng)中的某帳戶下下載并安裝Proactive System Password Recovery。運(yùn)行程序后，展開“Option(選項(xiàng))→Gernal option(常規(guī)選項(xiàng))”，在“chose a program interface language(選擇程序語言)”下選擇“chinese(中文)”,然后單擊“Apply”切換到中文版。(圖7)

　　

　　第二步：展開“主菜單→恢復(fù)Hashes”，在右側(cè)的窗口就可以看到當(dāng)前系統(tǒng)各賬戶密碼，使用相應(yīng)的密碼登錄系統(tǒng)解密文件即可。(圖8)

　　

　　總結(jié)：可以看出上面的三個(gè)突破EFS加密的案例都有一定的局限性，只能說是沒有辦法的辦法。因此我們要養(yǎng)成好習(xí)慣，進(jìn)行EFS加密后一定要備份好密鑰，或者設(shè)置EFS加密代理。

標(biāo)簽： 權(quán)限

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。