色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

您好,歡迎來電子發燒友網! ,新用戶?[免費注冊]

您的位置:電子發燒友網>電子百科>主機配件>硬盤>

重裝系統后實戰EFS解密

2010年01月11日 11:29 www.1cnz.cn 作者:佚名 用戶評論(0

重裝系統后實戰EFS解密

公司一位同事的電腦中病毒,無藥可救,幫她還原系統后才發覺她的D盤有部分文件無法打開使用,原因是這位MM竟然給自己的文件用了WINDOWS自帶的EFS加密了。哎,真是騎虎難下!!萬不得已,只得尋找相關技術資料并試圖解密……
??? 首先我們先了解一下“EFS加密原理”:
大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
(1)隨機生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
(2)這個FEK會被當前帳戶的公鑰進行加密,加密后的FEK副本保存在文件$EFS屬性的DDF字段里。
(3)要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然后用FEK去解密文件。
看到這里,似乎EFS的脈絡已經很清晰,其實不然,這樣還不足于確保EFS的安全性。系統還會對EFS添加兩層保護措施:
??? 1)Windows會用64字節的主密鑰(Master Key)對私鑰進行加密,加密后的私鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID?? 。提示 Windows系統里的各種私有密鑰,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。

??? 2)為了保護主密鑰,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密后的主密鑰保存在以下文件夾:%UserProfile%\Application Data\Microsoft\Protect\SID 。

通過上面簡單的介紹,我們可以得到這個結論,就是我們如果要對EFS進行解密必須要一下滿足以下兩點:

(1)必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。

(2)該被刪帳戶的配置文件必須存在:加密后的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底任務失敗。

可能大家會想,只需新建一個同名的用戶帳戶,然后把原來配置文件復制給新帳戶,不就可以解密EFS文件了?原因在于帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規方法是不可能奏效的。我們必須另辟蹊徑,讓系統再造一個完全一樣的SID!

下面就看我的具體步驟:
??
(1)把新系統進行GHOST備份。

(2)找一張DOS下的支持NTFS 的EasyRecovery光盤,使用EasyRecovery 找回賬戶配置文件(具體能不能找回該配置文件,就要看大家的運氣了,還好我的運氣不錯,找到了,不然就不知道怎么向MM交代了,呵呵)。然后把找到的用戶配置文件另存到D盤。
(3)還原第一步做的GHOST的備份,進入系統,找到剛剛我們恢復的賬戶配置文件。
(4)再造SID,首先確認帳戶的SID,這里可以進入以下文件夾:D:\明梅\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該帳戶的SID為名的文件夾,例如是S-1-5-21-1214440339-1078145449-1343024091-1004(RID為1004)現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的。


在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進制類型的數據,在偏移量0048處的四個字節,定義下一個帳戶的RID。那么也就是說,只需要修改0048處的四個字節,就能達到目的(讓新建帳戶獲得1004的RID)!

默認情況下,只有system帳戶才有權限訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
psexec -i -d -s %windir%\regedit.exe


提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html

(5)定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側的F鍵值。

(6)這里要說明一下,Windows是以十六進制、而且以反轉形式保存下一個帳戶的RID。什么意思呢?也就是說,如果是1004的RID,對應十六進制就是03EC,但是我們必須把它反轉過來變成EC03,再擴展為4個字節,就是EC 03 00 00。所以,我們應該把F鍵值的0048偏移量處,把其中四個字節改為“EC 03 00 00”。


(7)重啟計算機!重啟以后,新建一個同名帳戶“明梅”,它的SID應該和以前是完全一樣。如果不相信的話,可以借助GetSID或者PsGetSID等工具測試一下。

(8)接下來的就非常簡單了,用新建的“明梅”帳戶身份登錄系統,隨便加密一個文件,然后注銷,用管理員帳戶登錄系統,把原來保留的配置文件覆蓋到”C:\Documents and Settings\明梅“文件夾。再用”明梅“帳戶登錄系統,現在可以解密原來的EFS文件了。

?

非常好我支持^.^

(14) 87.5%

不好我反對

(2) 12.5%

( 發表人:admin )

      發表評論

      用戶評論
      評價:好評中評差評

      發表評論,獲取積分! 請遵守相關規定!

      ?
      主站蜘蛛池模板: 97精品少妇偷拍蜜桃AV| 久久久久久久99精品免费观看| 日本熟妇乱妇熟色A片蜜桃亚洲| 中文字幕 日韩 无码 在线| 国产在线视精品在亚洲| 午夜DY888国产精品影院| 动漫美女的禁| 日韩精品人成在线播放| qvod影院| 欧美怡红院视频一区二区三区| 4虎最新网址| 美女乱草鲍高清照片| 中文字幕按摩| 久久亚洲成a人片| 伊人久久影视| 久久精品观看| 伊人久久影院| 快播h网站| 337p欧洲亚大胆精品| 蜜芽资源高清在线观看| 5g在线视讯年龄确认海外禁止进入 | 久久精品国产免费中文| 妖精视频免费高清观看| 精品一二三区久久AAA片| 一本道色综合手机久久| 久久精品无码人妻无码AV蜜臀| 伊人久久大香线蕉电影院| 精品一区二区三区免费毛片| 一个人免费完整观看日本 | 在线色av| 美女图片131亚洲午夜| 99精品无码AV在线播放| 欧美精品成人一区二区在线观看| qvod免费电影| 呻吟翘臀后进爆白浆| 国产精品久久精品视| 亚洲AV噜噜88| 亚洲看片无码免费视频| 海量激情文学| 一二三四在线视频社区8| 久久综合网久久综合|