重裝系統(tǒng)后實(shí)戰(zhàn)EFS解密

公司一位同事的電腦中病毒,無(wú)藥可救,幫她還原系統(tǒng)后才發(fā)覺(jué)她的D盤(pán)有部分文件無(wú)法打開(kāi)使用,原因是這位MM竟然給自己的文件用了WINDOWS自帶的EFS加密了。哎，真是騎虎難下??！萬(wàn)不得已，只得尋找相關(guān)技術(shù)資料并試圖解密……
??? 首先我們先了解一下“EFS加密原理”：
大家知道，EFS加密實(shí)際上綜合了對(duì)稱(chēng)加密和不對(duì)稱(chēng)加密：
（1）隨機(jī)生成一個(gè)文件加密密鑰(叫做FEK)，用來(lái)加密和解密文件。
（2）這個(gè)FEK會(huì)被當(dāng)前帳戶(hù)的公鑰進(jìn)行加密，加密后的FEK副本保存在文件$EFS屬性的DDF字段里。
（3）要想解密文件，首先必須用當(dāng)前用戶(hù)的私鑰去解密FEK，然后用FEK去解密文件。
看到這里，似乎EFS的脈絡(luò)已經(jīng)很清晰，其實(shí)不然，這樣還不足于確保EFS的安全性。系統(tǒng)還會(huì)對(duì)EFS添加兩層保護(hù)措施：
??? 1）Windows會(huì)用64字節(jié)的主密鑰(Master Key)對(duì)私鑰進(jìn)行加密，加密后的私鑰保存在以下文件夾：
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID?? 。提示 Windows系統(tǒng)里的各種私有密鑰，都用相應(yīng)的主密鑰進(jìn)行加密。Windows Vista的BitLocker加密，也用其主密鑰對(duì)FVEK(全卷加密密鑰)進(jìn)行加密。

??? 2）為了保護(hù)主密鑰，系統(tǒng)會(huì)對(duì)主密鑰本身進(jìn)行加密(使用的密鑰由帳戶(hù)密碼派生而來(lái))，加密后的主密鑰保存在以下文件夾：%UserProfile%\Application Data\Microsoft\Protect\SID 。

通過(guò)上面簡(jiǎn)單的介紹，我們可以得到這個(gè)結(jié)論，就是我們?nèi)绻獙?duì)EFS進(jìn)行解密必須要一下滿(mǎn)足以下兩點(diǎn)：

（1）必須知道該被刪帳戶(hù)的密碼：沒(méi)有帳戶(hù)密碼，就無(wú)法解密主密鑰。因?yàn)槠浼用苊荑€是由帳戶(hù)密碼派生而來(lái)的。

（2）該被刪帳戶(hù)的配置文件必須存在：加密后的私鑰和主密鑰(還包括證書(shū)和公鑰)，都保存在配置文件里，所以配置文件萬(wàn)萬(wàn)不可丟失，否則就會(huì)徹底任務(wù)失敗。

可能大家會(huì)想，只需新建一個(gè)同名的用戶(hù)帳戶(hù)，然后把原來(lái)配置文件復(fù)制給新帳戶(hù)，不就可以解密EFS文件了？原因在于帳戶(hù)的SID，因?yàn)樾陆ㄓ脩?hù)的SID不可能和老帳戶(hù)一樣，所以常規(guī)方法是不可能奏效的。我們必須另辟蹊徑，讓系統(tǒng)再造一個(gè)完全一樣的SID！

下面就看我的具體步驟：
??
（1）把新系統(tǒng)進(jìn)行GHOST備份。

（2）找一張DOS下的支持NTFS 的EasyRecovery光盤(pán)，使用EasyRecovery 找回賬戶(hù)配置文件（具體能不能找回該配置文件，就要看大家的運(yùn)氣了，還好我的運(yùn)氣不錯(cuò)，找到了，不然就不知道怎么向MM交代了，呵呵）。然后把找到的用戶(hù)配置文件另存到D盤(pán)。
（3）還原第一步做的GHOST的備份，進(jìn)入系統(tǒng)，找到剛剛我們恢復(fù)的賬戶(hù)配置文件。
（4）再造SID，首先確認(rèn)帳戶(hù)的SID，這里可以進(jìn)入以下文件夾：D:\明梅\Application Data\Microsoft\Crypto\RSA
在其下應(yīng)該有一個(gè)以該帳戶(hù)的SID為名的文件夾，例如是S-1-5-21-1214440339-1078145449-1343024091-1004(RID為1004)現(xiàn)在我們要設(shè)法讓新建帳戶(hù)同樣具有1004的RID，這樣就能達(dá)到目的。

?