EFS加密是windows系統自帶的加密方式,一個系統用戶對文件加密後,只有以該用戶的身份登陸才能讀取該文件。EFS加密的文件和文件夾名字顏色是綠色,或者在該文件或文件夾的高級屬性是加密屬性。這樣做在很大程度尚提高了數據的安全性,但是如果祕鑰文件丟失或者重裝系統就會導致加過密的文件不能打開,今天的教程主要介紹的就是如果電腦使用ESF加密後卻因爲其他原因導致無法打開文件,我們應該怎麼解密。
EFS加密原理介紹
要想解密,我們首先要了解是怎麼加的密,下面介紹EFS加密原理。
當我們使用EFS對一個NTFS文件進行加密時,Windows系統會生成一個僞隨機數FEK(也就是文件加密的鑰匙),用這個FEK對文件進行加密同時將文件的原位進行覆寫,隨後系統利用公鑰再進行一次對FEK的加密,加密後的FEK存儲在加密文件的EFS屬性中。
用戶訪問被加密的文件時,系統是利用私鑰先解密FEK,再使用FEK解密文件,這裏我們所說的公鑰和私鑰統稱爲祕鑰,如果用戶登錄到了域環境中使用,那麼決定祕鑰生成的是域控制器,如果用戶沒有登錄域環境,那麼祕鑰的生成依賴於本地機器。
通常情況下要解密EFS加密的文件需要依賴於用戶私鑰,私鑰保存在Windows分區的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID%路徑下,這個SID是一個安全的標識符,用來表示賬號唯一特徵,在賬號創建時由Windows系統分配。Windows系統爲保護私鑰還會對私鑰再進行一次加密,稱爲主密鑰,主密鑰位於Windows分區的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%,然後再用用戶密碼生成的密鑰對主密鑰進行加密。
簡單對上述這一加密過程進行歸納就形成了“用戶密碼->主密鑰->私鑰->FEK->EFS加密文件”的加密鏈。如果想要對EFS進行解密,我們需要得到的信息包括用戶密碼、主密鑰、私鑰。
EFS無祕鑰情況下解密思路
- 查看現有系統佔用空間情況,查找或重組加密FEK的私鑰、主密鑰、
- 查看現有mft文件目錄的佔用空間,根據用戶密碼進行校驗匹配,解密用戶文件,
- 對解密出來的文件進行校驗和邏輯分析,提取所需數據即可。
- 如果使用EFS對文件進行了加密,應該及時將祕鑰進行備份並妥善保管。
- 如果EFS祕鑰文件丟失應停止繼續使用計算機,降低祕鑰被覆蓋的可能。