我是一名正在讀計算機專業的博士,前一段時間花費了幾個月研究EFS解密技術,終於成功了,現在總結一下,給各位一個啓示~
關於EFS加密:
EFS(Encrypting File System,加密文件系統)是Windows系統特有的一個實用功能,對於NTFS捲上的文件和數據,都可以直接被操作系統加密保存,在很大程度上提高了數據的安全性。但是,如果不小心重裝系統或損壞硬盤等將導致EFS加密文件無法打開,無法複製,但可以刪除。EFS加密解密都是透明完成,如果用戶加密了一些數據,那麼其對這些數據的訪問將是完全允許的, 並不會受到任何限制,因此,文件被EFS加密後並不會被察覺,只有重裝系統後才發現,但爲時已晚。值得注意的是,如果把未加密的文件複製到具有加密屬性的文件夾中,這些文件將會被自動加密。
判斷是不是EFS加密最簡單的辦法就是看文件的顏色,如果文件名爲綠色,肯定是EFS加密。如果顏色正常,也可以在文件上點擊鼠標右鍵,選擇“屬性”,打開屬性對話框,然後在常規選項卡上點擊“高級”按鈕,打開高級屬性對話框,如果“加密內容以便保護數據”這個選項被選中,肯定是EFS加密。
EFS是一種公鑰加密,在使用EFS加密一個文件或文件夾時,系統首先會生成一個由僞隨機數組成的FEK (File Encryption Key,文件加密鑰匙),然後利用FEK和數據擴展標準X算法創建加密後的文件,並把它存儲到硬盤上,同時刪除未加密的原始文件。隨後系統利用你的公鑰加密FEK,並把加密後的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統首先利用當前用戶的私鑰解密FEK,然後利用FEK解密出文件。
在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統稱爲密鑰),則會首先生成密鑰,然後加密數據。文件的加密和解密都需要密鑰的參與,而密鑰分爲公鑰和私鑰兩種。加密文件的時候使用公鑰,解密文件的時候則使用相對應的私鑰。
解密EFS加密文件有兩種情況:
1) 備份了之前系統的相關文件
如果你在重裝系統前備份了"C:\Documents and Settings\<用戶名>\Application Data\Microsoft\"這個文件夾的話(<用戶名>指的是你之前系統的用戶名),恭喜你,你的EFS文件有救了(+Q:134零675686)!否則請看另一種情況。
2) 之前的系統文件沒備份
如果你在重裝系統前沒有備份任何文件,也不要放棄,只要你的數據還在硬盤,就一定能找回,只不過是時間的問題(通常需要幾十分鐘,分區越大時間越久),這個時候一定要記住:不要再對硬盤進行任何操作,不要再次重裝系統,不要開機,不要拷貝文件,等待專業人員,否則你很可能覆蓋掉有用的數據,造成EFS密鑰丟失,永遠都不可能解密了。找回密鑰文件後,恭喜你,你的EFS文件可以解密了!
常見問題解答:
1. 爲什麼打開加密過的文件時沒有需要我輸入密碼?
這正是EFS加密的一個特性,同時也是EFS加密和操作系統緊密結合的最佳證明。因爲跟一般的加密軟件不同,EFS加密不是靠雙擊文件,然後彈出一個對話框,然後輸入正確的密碼來確認的用戶的;EFS加密的用戶確認工作在登錄到Windows時就已經進行了。一旦你用適當的賬戶登錄,那你就能打開相應的任何加密文件,並不需要提供什麼額外的密碼。
2.我的加密文件已經打不開了,我能夠把NTFS分區轉換成FAT32分區來挽救我的文件嗎?
這當然是不可能的了。很多人嘗試過各種方法,例如把NTFS分區轉換成FAT32分區;用NTFS DOS之類的軟件到DOS下去把文件複製到FAT32分區等,不過這些嘗試都以失敗告終。畢竟EFS是一種加密,而不是一般的什麼權限之類的東西,這些方法對付EFS加密都是無濟於事。而如果你的密鑰丟失或者沒有做好備份,那麼一旦發生事故所有加密過的數據就都沒救了。
3.我加密數據後重裝了操作系統,現在加密數據不能打開了。如果我使用跟前一個系統相同的用戶名和密碼總應該就可以了吧?
這當然也是不行的,我們在前面已經瞭解到,跟EFS加密系統密切相關的密鑰是根據每個用戶的SID得來的。儘管你在新的系統中使用了相同的用戶名和密碼,但是這個用戶的SID已經變了。這個可以理解爲兩個同名同姓的人,雖然他們的名字相同,不過指紋絕不可能相同,那麼這種想法對於只認指紋不認人名的EFS加密系統當然是無效的。
4.被EFS加密過的數據是不是就絕對安全了呢?
當然不是,安全永遠都是相對的。以被EFS加密過的文件爲例,如果沒有合適的密鑰,雖然無法打開加密文件,不過仍然可以刪除(有些小人確實會這樣想:你竟然敢加密了不讓我看!那好,我就刪除了它,咱們都別看)。
5.我只是用Ghost恢復了一下系統,用戶賬戶和相應的SID都沒有變,怎麼以前的加密文件也打不開了?
這也是正常的,因爲EFS加密所用到的密鑰並不是在創建用戶的時候生成,而是在你第一次用EFS加密文件的時候。如果你用Ghost創建系統的鏡像前還沒有加密過任何文件,那你的系統中就沒有密鑰,而這樣的系統製作的鏡像當然也就不包括密鑰。一旦你加密了文件,並用Ghost恢復系統到創建鏡像的狀態,解密文件所用的密鑰就丟失了。因此這個問題一定需要注意!