重裝系統后實戰EFS解密
重裝系統后實戰EFS解密
公司一位同事的電腦中病毒,無藥可救,幫她還原系統后才發覺她的D盤有部分文件無法打開使用,原因是這位MM竟然給自己的文件用了WINDOWS自帶的EFS加密了。哎,真是騎虎難下!!萬不得已,只得尋找相關技術資料并試圖解密……
??? 首先我們先了解一下“EFS加密原理”:
大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
(1)隨機生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
(2)這個FEK會被當前帳戶的公鑰進行加密,加密后的FEK副本保存在文件$EFS屬性的DDF字段里。
(3)要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然后用FEK去解密文件。
看到這里,似乎EFS的脈絡已經很清晰,其實不然,這樣還不足于確保EFS的安全性。系統還會對EFS添加兩層保護措施:
??? 1)Windows會用64字節的主密鑰(Master Key)對私鑰進行加密,加密后的私鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID?? 。提示 Windows系統里的各種私有密鑰,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。
??? 2)為了保護主密鑰,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密后的主密鑰保存在以下文件夾:%UserProfile%\Application Data\Microsoft\Protect\SID 。
通過上面簡單的介紹,我們可以得到這個結論,就是我們如果要對EFS進行解密必須要一下滿足以下兩點:
(1)必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。
(2)該被刪帳戶的配置文件必須存在:加密后的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底任務失敗。
可能大家會想,只需新建一個同名的用戶帳戶,然后把原來配置文件復制給新帳戶,不就可以解密EFS文件了?原因在于帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規方法是不可能奏效的。我們必須另辟蹊徑,讓系統再造一個完全一樣的SID!
下面就看我的具體步驟:
??
(1)把新系統進行GHOST備份。
(2)找一張DOS下的支持NTFS 的EasyRecovery光盤,使用EasyRecovery 找回賬戶配置文件(具體能不能找回該配置文件,就要看大家的運氣了,還好我的運氣不錯,找到了,不然就不知道怎么向MM交代了,呵呵)。然后把找到的用戶配置文件另存到D盤。
(3)還原第一步做的GHOST的備份,進入系統,找到剛剛我們恢復的賬戶配置文件。
(4)再造SID,首先確認帳戶的SID,這里可以進入以下文件夾:D:\明梅\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該帳戶的SID為名的文件夾,例如是S-1-5-21-1214440339-1078145449-1343024091-1004(RID為1004)現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的。
在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進制類型的數據,在偏移量0048處的四個字節,定義下一個帳戶的RID。那么也就是說,只需要修改0048處的四個字節,就能達到目的(讓新建帳戶獲得1004的RID)!
默認情況下,只有system帳戶才有權限訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
psexec -i -d -s %windir%\regedit.exe
提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(5)定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側的F鍵值。
(6)這里要說明一下,Windows是以十六進制、而且以反轉形式保存下一個帳戶的RID。什么意思呢?也就是說,如果是1004的RID,對應十六進制就是03EC,但是我們必須把它反轉過來變成EC03,再擴展為4個字節,就是EC 03 00 00。所以,我們應該把F鍵值的0048偏移量處,把其中四個字節改為“EC 03 00 00”。
(7)重啟計算機!重啟以后,新建一個同名帳戶“明梅”,它的SID應該和以前是完全一樣。如果不相信的話,可以借助GetSID或者PsGetSID等工具測試一下。
(8)接下來的就非常簡單了,用新建的“明梅”帳戶身份登錄系統,隨便加密一個文件,然后注銷,用管理員帳戶登錄系統,把原來保留的配置文件覆蓋到”C:\Documents and Settings\明梅“文件夾。再用”明梅“帳戶登錄系統,現在可以解密原來的EFS文件了。
?非常好我支持^.^
(14) 87.5%
不好我反對
(2) 12.5%
相關閱讀:
- [電子說] Linux下重裝系統后分區發生改變的數據恢復案例 2023-03-21
- [電子說] 【服務器數據恢復】Linux服務器癱瘓后重裝系統導致數據丟失的數據恢復案例 2022-12-22
- [電子說] 【服務器數據恢復】XFS文件系統重裝系統導致分區消失的數據恢復案例 2022-12-20
- [電子說] 【服務器數據恢復】VMware虛擬化重裝系統的數據恢復案例 2022-12-12
- [電子說] 重裝系統也解決不了的卡頓問題!aigo固態硬盤P3000幫你解決 2021-08-19
- [電子說] 電腦卡頓不重裝系統能解決嗎?答案是能,固態硬盤換新 2021-08-19
- [電子說] win10重裝系統后不能清除C盤文件的方法 2021-02-18
- [電子說] 筆記本出現系統故障時 如何應用BIOS引導重裝系統 2020-09-02
( 發表人:admin )