重新安装系统后，破解Windows随附的EFS加密

重新安装系统后，在Windows附带的EFS加密老板计算机中破解病毒，无法治愈. 重新安装系统后，我发现他的D盘上的某些文件无法打开使用，因为老板实际上使用了自己的文件. WINDOWS随附的EFS加密已加密. 嘿，骑虎真的很难！作为最后的手段，我们必须找到相关的技术信息并尝试解密...首先，让我们首先了解“ EFS加密原理”: 如您所知，EFS加密实际上结合了对称加密和非对称加密: （ 1）随机生成文件加密密钥（称为FEK），用于加密和解密文件. （2）将使用当前帐户的公钥对FEK进行加密efs加密文件 重装系统，并将FEK的加密副本保存在文件$ EFS属性的DDF字段中. （3）要解密文件，必须首先使用当前用户的私钥解密FEK，然后使用FEK解密文件. 看到这一点，似乎EFS的上下文已经很清楚了，但事实并非如此，这不足以确保EFS的安全性. 系统还将在EFS上添加两层保护措施: 1）Windows将使用64字节的主密钥（Master Key）对私钥进行加密. 加密的私钥存储在以下文件夹中: ％UserProfile％\ Application Data \ Microsoft \ Crypto \ RSA \ SID密钥对FVEK（完整卷加密密钥）进行加密.

2）为了保护主密钥，系统将对主密钥本身进行加密（使用的密钥来自帐户密码）. 加密的主密钥保存在以下文件夹中: ％UserProfile％\ Application Data \ Microsoft \ Protect \ SID. 通过上面的简单介绍，我们可以得出以下结论: 要解密EFSefs加密文件 重装系统，必须满足以下两点要求: （1）我们必须知道已删除帐户的密码: 没有帐户密码，就无法解密主服务器键. 因为其加密密钥是从帐户密码派生的. （2）删除帐户的配置文件必须存在: 加密的私钥和主密钥（包括证书和公钥）都存储在配置文件中，因此配置文件一定不能丢失，否则将导致任务失败. 您可能会想，只需创建一个具有相同名称的用户帐户，然后将原始配置文件复制到新帐户，就可以解密EFS文件吗？原因是帐户的SID. 由于新创建的用户的SID无法与旧帐户相同，因此常规方法无效. 我们必须找到另一种方法来让系统重新创建相同的SID！这是我的具体步骤: （1）在重新安装系统之前，已备份“文档和设置”目录. 现在真的很高兴找到Application Data \ Microsoft \ Protect \ SID.

（2）要重新创建SID，请首先确认帐户的SID. 在这里您可以输入以下文件夹: D: \ Huagang用户\ Application Data \ Microsoft \ Crypto \ RSA在名为document的帐户下应该有一个SID. 提示Windows系统中的各种私钥已使用相应的主密钥加密. Windows Vista的BitLocker加密也使用其主文件夹，例如S-1-5-21-1214440339-1078145449-1343024091-1004（RID为1004）现在我们必须尝试使新创建的帐户的RID也为1004 ，以便我们实现他们的目标. 在Windows中，分配给下一个新帐户的RID由HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account注册表项的F键值确定. 密钥F值为二进制数据，偏移量0048处的四个字节定义了下一个帐户的RID. 也就是说，只需修改0048处的四个字节即可达到目标（让新帐户获得1004 RID）！默认情况下，只有系统帐户有权访问HKEY_LOCAL_MACHINE \ SAM. 在CMD命令提示符窗口中，运行以下命令以系统帐户打开注册表编辑器: psexec -i -d -s -windir％\ regedit. exe提示您可以从以下网站下载psexec: （3）找到HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account注册表项，双击以打开右侧的F键值.

（4）在这里让我解释一下，Windows以十六进制和相反的格式保存下一个帐户的RID. 这意味着什么？换句话说，如果RID为1004，则对应的十六进制为03EC，但是必须将其反转为EC03，然后扩展为4个字节，即EC 03 0000. 因此，我们应该更改F键值至0048偏移，并将四个字节更改为“ EC 03 00 00”. （5）重新启动计算机！重新启动后，创建一个具有相同名称的新帐户“ Huagang User”，其SID应该与以前完全相同. 如果您不相信它，则可以使用诸如GetSID或PsGetSID之类的工具对其进行测试. （6）以下非常简单. 使用新创建的“华港用户”帐户登录系统，加密文件，注销，使用管理员帐户登录系统，并将原始配置文件覆盖为“ C: \ Documents and Settings \ Huagang users'使用“华港用户”帐户登录系统后，您现在可以解密原始的EFS文件[绝对原始]做属于您自己的efs加密文件几天前，我遇到了EFS的情况加密的文件无法在NTFS格式的硬盘上打开，因此我上线寻求帮助. 对于使用映像在没有备份证书的情况下重做系统的情况，Internet上的所有图例都无法解决，这意味着文件尚未保存.

因为我看到了有关EFS加密系统的各种信息，并说它非常强大，所以我曾经放弃了，但是最后，我无意中保存了我的信息. 因为我自己做了很多工作，所以我随后检查了每个步骤. 几乎有以下重要步骤可以保存加密文件. 保存数据的前提条件是，用于重做系统的映像与原始映像相同. 实际上，您需要确保sid保持不变. 让我们从下面开始保存数据: 1.打开我的电脑->工具->文件夹选项->视图，去掉“隐藏受保护的操作系统文件”前面的复选标记，然后出现提示，单击“是，然后选择2.单击“查看所有文件和文件夹”，然后单击“确定”. 2.查看加密文件的属性->“高级”->“详细信息”. 在弹出的对话框中，您可以看到证书缩写“下来”或不关闭第三，使用“免费安装版本” finaldata或建议使用finaldata的PowerDataRecovery，（因为finaldata可以按时间排列，PowerDataRecovery按文件夹排列，因此您必须打开每个文件夹以找到所需的文件，非常麻烦，但是也可行）将数据还原到C驱动器中，这个速度有点慢，可以先去吃饭.

在丢失的目录中，按修改时间排列，找到具有相同文件名和证书缩写的文件，并且应同时生成两个文件. 将这三个文件还原在一起，并将它们放在一个文件夹中进行备份. 应当注意，该文件夹的名称应该简单，并放置在某个磁盘的根目录中，例如存储在g: \ 123 \中. 4.开始->运行-> cmd，输入“ attrib g: \ 123 \ *. * + S + h” 5.在以下文件夹C中执行以下操作: \ Documents and Settings \ Administrator \ Application Data \ Microsoft \将具有相同文件名和证书缩写的文件复制到以下文件夹SystemCertificates \ My \ Certificates将具有最长文件名的文件复制到以下文件夹Crypto \ RSA \ S-1-5-21-1757981266 -1004336348-682003330 -500（您不会以S开头的文件夹具有相同的名称，但是格式是相同的，这是传说中的sid）（个人认为此文件并不重要）将是剩余的那个将文件复制到以下内容Protect \ S-1-5-21-1757981266-1004336348-682003330-500文件夹（注意与上述相同）6.重新启动计算机，然后查看文件是否已解密. 本文专门针对No. 在其他情况下，需要检查备份证书并使用映像重做系统的情况提出的解决方案.

注意: 1.有人说使用Advanced.EFS.Data.Recovery可以，但是它的恢复会出现乱码，并且某些文件仍然无法打开，因此建议遵循上述步骤. 2.我的原始用户名是管理员，所以我不知道我是否需要原始用户名和密码. 当然，最好记住用户名和密码. 3.在整个过程中，没有修改系统文件，也不需要触摸注册表，因此对系统没有影响.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-211846-1.html