EFS加密技術(shù)的概念分析及一次解密經(jīng)過(guò)
互聯(lián)網(wǎng) 發(fā)布時(shí)間:2008-10-08 19:03:17 作者:佚名
我要評(píng)論

EFS(Encrypting File System,加密文件系統(tǒng))加密是一種基于NTFS磁盤(pán)技術(shù)的加密技術(shù)。EFS加密基于公鑰策略。在使用EFS加密一個(gè)文件或文件夾時(shí),系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密
EFS(Encrypting File System,加密文件系統(tǒng))加密是一種基于NTFS磁盤(pán)技術(shù)的加密技術(shù)。EFS加密基于公鑰策略。在使用EFS加密一個(gè)文件或文件夾時(shí),系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲(chǔ)到硬盤(pán)上,同時(shí)刪除未加密的原始文件。接下來(lái)系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問(wèn)被加密的文件時(shí),系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時(shí),如果用戶還沒(méi)有公鑰/私鑰對(duì)(統(tǒng)稱為密鑰),則會(huì)首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機(jī)器。說(shuō)起來(lái)非常復(fù)雜,但是實(shí)際使用過(guò)程中就沒(méi)有那么麻煩了。EFS加密的用戶驗(yàn)證過(guò)程是在登錄Windows時(shí)進(jìn)行的,只要登錄到Windows,就可以打開(kāi)任何一個(gè)被授權(quán)的加密文件。換句話說(shuō),EFS加密系統(tǒng)對(duì)用戶是透明的。這也就是說(shuō),如果你加密了一些數(shù)據(jù),那么你對(duì)這些數(shù)據(jù)的訪問(wèn)將是完全允許的,并不會(huì)受到任何限制。而其他非授權(quán)用戶試圖訪問(wèn)你加密過(guò)的數(shù)據(jù)時(shí),就會(huì)收到“訪問(wèn)拒絕”的錯(cuò)誤提示。
我的電腦一般來(lái)說(shuō)不會(huì)有別人使用,而我經(jīng)常重裝系統(tǒng),又懶得備份密鑰,所以我從來(lái)沒(méi)有使用過(guò)Windows 2003或者Windows XP的EFS功能。今天讀到了一些關(guān)于EFS密鑰沒(méi)有備份因而數(shù)據(jù)無(wú)法恢復(fù)的求助帖子,所以突然想出一個(gè)點(diǎn)子想試著解開(kāi)EFS的加密。 我構(gòu)造的試驗(yàn)環(huán)境是在Windows XP Pro SP2系統(tǒng)中的一塊NTFS磁盤(pán)上建立一個(gè)test文件夾,啟用EFS加密。文件夾中是一個(gè)加密過(guò)的文本文件1.txt?,F(xiàn)在我先用另一個(gè)帳戶去嘗試讀取這個(gè)文件,然后在第二個(gè)系統(tǒng)中(相當(dāng)于重裝系統(tǒng)沒(méi)有證書(shū)的情況)再次嘗試讀取這個(gè)文件。 第一步,啟用我系統(tǒng)中的GUEST帳戶。 此時(shí)從資源管理器中是不能訪問(wèn)test文件夾的。 打開(kāi)cmd,在任務(wù)管理器中終止explorer.exe進(jìn)程,打開(kāi)PsExec嘗試用system登錄。 失敗。提示進(jìn)程無(wú)法創(chuàng)建??磥?lái)全縣不夠。 回到管理員帳戶,新建一個(gè)管理員帳戶test并以之登錄。 在test帳戶中運(yùn)行資源管理器可以訪問(wèn)test文件夾,但是不能打開(kāi)1.txt加密文件。 此時(shí)再用上法以system登錄。此時(shí)打開(kāi)文件為亂碼! 運(yùn)行IceSword.exe,在 文件 中定位test文件夾。右鍵選擇1.txt,復(fù)制到桌面,文件名任意,后綴不變。 雙擊打開(kāi)文件,正常讀出!第一步破解EFS成功! 第二步,登陸Windows Server 2003 SP1系統(tǒng)(管理員身份)。 使用上述方法再次復(fù)制1.txt到桌面,打開(kāi)后出現(xiàn)亂碼,和system讀取時(shí)情況一致。第二種嘗試失敗。 總結(jié): 本方法意義: 目前僅適用于察看系統(tǒng)中其他人使用EFS加密過(guò)的文件(請(qǐng)讀者務(wù)必不要做違法及危害他人權(quán)利的事!),在系統(tǒng)重裝或私鑰丟失情況下的文件恢復(fù)有待進(jìn)一步地探索。 本方法使用的兩個(gè)軟件: PsExec IceSword。前者是國(guó)外非常流行的遠(yuǎn)程控制軟件,命令行界面。后者則是PJF制作的國(guó)內(nèi)著名隱藏進(jìn)程察看軟件冰刃。 本方法適用條件: 1. 需要足夠運(yùn)行上述兩個(gè)軟件的權(quán)限(如果可以結(jié)合net user命令的話應(yīng)該不難,這只是一個(gè)小提示,讀者還請(qǐng)自律^_^)。 2. 系統(tǒng)內(nèi)還有該EFS加密文件對(duì)應(yīng)的密鑰(這一條件是基于我的初步推測(cè)) 本方法成功的原因淺析: 1. 利用了system帳戶特有的內(nèi)核級(jí)權(quán)限,這可能是能夠讀取管理員或其他正常用戶密鑰的條件。 2. IceSword特有的讀取加密文件的技術(shù)。關(guān)于這一點(diǎn),是我最百思不得其解的地方,真希望能聽(tīng)到PJF親自闡述一下這是如何實(shí)現(xiàn)的0.0。
我的電腦一般來(lái)說(shuō)不會(huì)有別人使用,而我經(jīng)常重裝系統(tǒng),又懶得備份密鑰,所以我從來(lái)沒(méi)有使用過(guò)Windows 2003或者Windows XP的EFS功能。今天讀到了一些關(guān)于EFS密鑰沒(méi)有備份因而數(shù)據(jù)無(wú)法恢復(fù)的求助帖子,所以突然想出一個(gè)點(diǎn)子想試著解開(kāi)EFS的加密。 我構(gòu)造的試驗(yàn)環(huán)境是在Windows XP Pro SP2系統(tǒng)中的一塊NTFS磁盤(pán)上建立一個(gè)test文件夾,啟用EFS加密。文件夾中是一個(gè)加密過(guò)的文本文件1.txt?,F(xiàn)在我先用另一個(gè)帳戶去嘗試讀取這個(gè)文件,然后在第二個(gè)系統(tǒng)中(相當(dāng)于重裝系統(tǒng)沒(méi)有證書(shū)的情況)再次嘗試讀取這個(gè)文件。 第一步,啟用我系統(tǒng)中的GUEST帳戶。 此時(shí)從資源管理器中是不能訪問(wèn)test文件夾的。 打開(kāi)cmd,在任務(wù)管理器中終止explorer.exe進(jìn)程,打開(kāi)PsExec嘗試用system登錄。 失敗。提示進(jìn)程無(wú)法創(chuàng)建??磥?lái)全縣不夠。 回到管理員帳戶,新建一個(gè)管理員帳戶test并以之登錄。 在test帳戶中運(yùn)行資源管理器可以訪問(wèn)test文件夾,但是不能打開(kāi)1.txt加密文件。 此時(shí)再用上法以system登錄。此時(shí)打開(kāi)文件為亂碼! 運(yùn)行IceSword.exe,在 文件 中定位test文件夾。右鍵選擇1.txt,復(fù)制到桌面,文件名任意,后綴不變。 雙擊打開(kāi)文件,正常讀出!第一步破解EFS成功! 第二步,登陸Windows Server 2003 SP1系統(tǒng)(管理員身份)。 使用上述方法再次復(fù)制1.txt到桌面,打開(kāi)后出現(xiàn)亂碼,和system讀取時(shí)情況一致。第二種嘗試失敗。 總結(jié): 本方法意義: 目前僅適用于察看系統(tǒng)中其他人使用EFS加密過(guò)的文件(請(qǐng)讀者務(wù)必不要做違法及危害他人權(quán)利的事!),在系統(tǒng)重裝或私鑰丟失情況下的文件恢復(fù)有待進(jìn)一步地探索。 本方法使用的兩個(gè)軟件: PsExec IceSword。前者是國(guó)外非常流行的遠(yuǎn)程控制軟件,命令行界面。后者則是PJF制作的國(guó)內(nèi)著名隱藏進(jìn)程察看軟件冰刃。 本方法適用條件: 1. 需要足夠運(yùn)行上述兩個(gè)軟件的權(quán)限(如果可以結(jié)合net user命令的話應(yīng)該不難,這只是一個(gè)小提示,讀者還請(qǐng)自律^_^)。 2. 系統(tǒng)內(nèi)還有該EFS加密文件對(duì)應(yīng)的密鑰(這一條件是基于我的初步推測(cè)) 本方法成功的原因淺析: 1. 利用了system帳戶特有的內(nèi)核級(jí)權(quán)限,這可能是能夠讀取管理員或其他正常用戶密鑰的條件。 2. IceSword特有的讀取加密文件的技術(shù)。關(guān)于這一點(diǎn),是我最百思不得其解的地方,真希望能聽(tīng)到PJF親自闡述一下這是如何實(shí)現(xiàn)的0.0。
相關(guān)文章
- “CMOS密碼”就是通常所說(shuō)的“開(kāi)機(jī)密碼”,主要是為了防止別人使用自已的計(jì)算機(jī),設(shè)置的一個(gè)屏障2023-08-01
QQScreenShot之逆向并提取QQ截圖--OCR和其他功能
上一篇文章逆向并提取QQ截圖沒(méi)有提取OCR功能, 再次逆向我發(fā)現(xiàn)是可以本地調(diào)用QQ的OCR的,但翻譯按鈕確實(shí)沒(méi)啥用, 于是Patch了翻譯按鈕事件, 改為了將截圖用百度以圖搜圖搜索.2023-02-04- QQ截圖是我用過(guò)的最好用的截圖工具, 由于基本不在電腦上登QQ了, 于是就想將其提取出獨(dú)立版目前除了屏幕錄制功能其他都逆出來(lái)了, 在此分享一下2023-02-04
非系統(tǒng)分區(qū)使用BitLocker加密導(dǎo)致軟件無(wú)法安裝的解決方法
很多電腦用戶在考慮自己電腦磁盤(pán)分區(qū)安全時(shí)會(huì)采用 Windows 自帶的 BitLocker 加密工具對(duì)電腦磁盤(pán)分區(qū)進(jìn)行加密。但有些人加密后就會(huì)忘記自己設(shè)置的密碼從而導(dǎo)致在安裝其它軟2020-11-25防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生
這篇文章為大家詳細(xì)介紹了如何才能防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2017-06-27徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、涉密人員離崗離職前防范舉
近些年企業(yè)商業(yè)機(jī)密泄漏的事件屢有發(fā)生,這篇文章主要教大家如何徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、告訴大家涉密人員離崗離職前的防范舉措,具有一定的參考價(jià)值,2017-06-27量子計(jì)算機(jī)輕松破解加密算法 如何破解加密算法?
最近有電腦用戶反應(yīng)量子計(jì)算機(jī)可以破解下載的所有的加密算法嗎?其實(shí)也不是不可以,下面虛擬就為大家講解買(mǎi)臺(tái)量子計(jì)算機(jī),如何分分鐘破解加密算法2016-09-26怎么破解Webshell密碼 Burpsuite破解Webshell密碼圖文教程
webshell是以asp、php、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的一種命令執(zhí)行環(huán)境,一種網(wǎng)頁(yè)后門(mén)。黑客通常會(huì)通過(guò)它控制別人網(wǎng)絡(luò)服務(wù)器,那么怎么破解webshell密碼呢?一起來(lái)看看吧2016-09-19針對(duì)Linux系統(tǒng)全盤(pán)加密的啟動(dòng)攻擊
本文討論了針對(duì)Linux系統(tǒng)全盤(pán)加密的冷啟動(dòng)攻擊,大家都認(rèn)為這種攻擊是可行的,但執(zhí)行這么一次攻擊有多難?攻擊的可行性有多少呢?需要的朋友可以參考下2015-12-28防止泄露公司機(jī)密、企業(yè)數(shù)據(jù)防泄密軟件排名、電腦文件加密軟件排行
面對(duì)日漸嚴(yán)重的內(nèi)部泄密事件,我們?nèi)绾问刈o(hù)企業(yè)的核心信息,如何防止內(nèi)部泄密也就成了擺在各個(gè)企業(yè)領(lǐng)導(dǎo)面前的一大問(wèn)題。其實(shí),針對(duì)內(nèi)網(wǎng)安全,防止內(nèi)部信息泄漏早已有了比較2015-12-17