为什么叫双刃剑?因为,破解和Hack技术,本身就是双刃剑 。而且,本文还牵扯到两款软件 。友情提示,Windows 系统下的EPS机制都一样,本文同样适用于Windows Vista操作系统 。
EFS(Encrypting File System,加密文件系统)加密是一种基于NTFS磁盘技术的加密技术 。EFS加密基于公钥策略,在使用EFS加密时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件 。接下来系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中 。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件 。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据 。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器 。
说起来非常复杂,但是实际使用过程中就没有那么麻烦了 。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件 。换句话说,EFS加密系统对用户是透明的 。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制 。而其他非授权用户试图访问你加密过的数据时,就会收到“访问拒绝的错误提示 。
我的电脑一般来说不会有别人使用,而我经常重装系统,又懒得备份密钥,所以我从来没有使用过Windows 2003或者Windows XP的EFS功能 。今天读到了一些关于EFS密钥没有备份因而数据无法恢复的求助帖子,所以突然想出一个点子想试着解开EFS的加密 。
我构造的试验环境是在Windows XP Pro SP2系统中的一块NTFS磁盘上建立一个test文件夹,启用EFS加密 。文件夹中是一个加密过的文本文件1.txt 。现在我先用另一个帐户去尝试读取这个文件,然后在第二个系统中(相当于重装系统没有证书的情况)再次尝试读取这个文件 。
第一步,启用我系统中的GUEST帐户 。
此时从资源管理器中是不能访问test文件夹的 。
打开cmd,在任务管理器中终止explorer.exe进程,打开PsExec尝试用system登录 。
失败 。提示进程无法创建 。看来全县不够 。
回到管理员帐户,新建一个管理员帐户test并以之登录 。
在test帐户中运行资源管理器可以访问test文件夹,但是不能打开1.txt加密文件 。
此时再用上法以system登录 。此时打开文件为乱码!
运行IceSword.exe,在 文件 中定位test文件夹 。右键选择1.txt,复制到桌面,文件名任意,后缀不变 。
双击打开文件,正常读出!第一步破解EFS成功!
;
【攻破Windows EPS加密之双刃剑】
第二步,登陆Windows Server 2003 SP1系统(管理员身份) 。
使用上述方法再次复制1.txt到桌面,打开后出现乱码,和system读取时情况一致 。第二种尝试失败 。
总结:
本方法意义:
目前仅适用于察看系统中其他人使用EFS加密过的文件(请读者务必不要做违法及危害他人权利的事!),在系统重装或私钥丢失情况下的文件恢复有待进一步地探索 。
本方法使用的两个软件:
PsExec IceSword 。前者是国外非常流行的远程控制软件,命令行界面 。后者则是PJF制作的国内著名隐藏进程察看软件冰刃 。
本方法适用条件:
1. 需要足够运行上述两个软件的权限(如果可以结合net user命令的话应该不难,这只是一个小提示,读者还请自律^_^) 。
2. 系统内还有该EFS加密文件对应的密钥(这一条件是基于我的初步推测)
推荐阅读
- Windows系统顽固型文件清除方法
- windows10我的电脑图标怎么显示
- Windows揪出隐藏的“QQ尾巴”
- Windows系统中F1~F12的作用
- 优秀的WINDOWS优化大师
- 华为matepad可以装Windows吗
- ACDsee深度历险
- 在Windows10系统中怎么调整屏幕亮度?调整屏幕亮度的方法介绍
- 处理Win7运行“Windows找不到文件请确定文件名是否正确”的方法
- 蓝屏谁惹的祸?Windows 98装主板驱动需留神