关于EFS加密技术的分析及一次解密经过

  • 时间:
  • 浏览:0
  • 来源:极速快3_快3神彩争8_极速快3神彩争8





作者: 赛迪网

CNETNews.com.cn

308-09-18 13:05:24

关键词: 操作系统 NTFS Windows 加密技术 EFS

  EFS(Encrypting File System,加密文件系统)加密是这种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一一一俩个多文件或文件夹时,系统首先会生成一一一俩个多由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),我希望 将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,一起去删除未加密的原始文件。接下来系统利用你的公钥加密FEK,并把加密后的FEK存储在同一一一俩个多加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,我希望 利用FEK解密出文件。

  在首次使用EFS时,可能性用户还只能公钥/私钥对(统称为密钥),则会首先生成密钥,我希望 加密数据。可能性你登录到了域环境中,密钥的生成依赖于域控制器,我希望 它就依赖于本地机器。说起来非常繁杂,我希望 实际使用过程中就只能只能麻烦了。EFS加密的用户验证过程是在登录Windows时进行的,我希望登录到Windows,就可不须要打开任何一一一俩个多被授权的加密文件。换句话说,EFS加密系统对用户是透明的。这也我希望说,可能性你加密了并且 数据,只能你对哪几种数据的访问将是完全允许的,何必 会受到任何限制。而并且 非授权用户试图访他不知道加密过的数据时,就会收到“访问拒绝”的错误提示。

  我的电脑一般来说太少再有别人使用,而我时不时重装系统,又懒得备份密钥,好多好多 我从来只能使用过Windows 303可能性Windows XP的EFS功能。今天读到了并且 关于EFS密钥只能备份因而数据无法恢复的求助帖子,好多好多 时不时想出一一一俩个多点子想试着解开EFS的加密。

  我构造的试验环境是在Windows XP Pro SP2系统中的一块NTFS磁盘上建立一一一俩个多test文件夹,启用EFS加密。文件夹中是一一一俩个多加密过的文本文件1.txt。现在我先用只能 帐户去尝试读取这种文件,我希望 在第俩个系统中(至少重装系统只能证书的状态)再次尝试读取这种文件。

  第一步,启用我系统中的GUEST帐户。

  此时从资源管理器中是只能访问test文件夹的。

  打开cmd,在应用进程中终止explorer.exe应用应用进程,打开PsExec尝试用system登录。

  失败。提示应用应用进程无法创建。看来全县严重不足。

  回到管理员帐户,新建一一一俩个多管理员帐户test并以之登录。

  在test帐户中运行资源管理器可不须要访问test文件夹,我希望 只能打开1.txt加密文件。

  此时再用上法以system登录。此时打开文件为乱码!

  运行IceSword.exe,在 文件 中定位test文件夹。右键选取1.txt,克隆到桌面,文件名任意,后缀不变。

  双击打开文件,正常读出!第一步破解EFS成功!

  第二步,登陆Windows Server 303 SP1系统(管理员身份)。

  使用上述辦法 再次克隆1.txt到桌面,打开后出现乱码,和system读取时状态一致。第二种尝试失败。

  总结:

  本辦法 意义:

  目前仅适用于察看系统中并且 人使用EFS加密过的文件(请读者务必何必 做违法及危害他人权利的事!),在系统重装或私钥丢失状态下的文件恢复有待进一步地探索。

  本辦法 使用的一一一俩个多软件:

  PsExec IceSword。前者是国外非常流行的远程控制软件,命令行界面。后者则是PJF制作的国内著名隐藏应用应用进程察看软件冰刃。

  本辦法 适用条件:

  1. 须要足够运行上述一一一俩个多软件的权限(可能性可不须要结合net user命令句子应该不难 ,这我希望一一一俩个多小提示,读者还请自律^_^)。

  2. 系统内还有该EFS加密文件对应的密钥(这种条件是基于我的初步推测)

  本辦法 成功的原因分析分析分析浅析:

  1. 利用了system帐户特有的内核级权限,这可能性是要能读取管理员或并且 正常用户密钥的条件。

  2. IceSword特有的读取加密文件的技术。关于这种点,是我最百思不得其解的地方,真希望能听到PJF亲自阐述一下这是怎么实现的0.0。