1. 在回收站刪除使用efs加密後的文件該怎麼恢復
你可以試試這個辦法:
要求:EFS加密文件證書沒有備份的情況下要恢復加密文件,只適用於該文件夾加密,但是其子文件和子文件夾沒加密,且沒有新文件加入該文件夾的情況。如果裡面的文件也被加密了,這種方法就無能為力了。
以筆者的操作系統為例介紹,筆者的系統為Windows Me/XP 雙操作系統,為了使Windows Me能訪問Windows XP的文件系統,Windows Me需要裝上NTFS For 98,這一步很關鍵,具體的安裝步驟請參考《電腦報》2003年第9期的《在Win98中訪問NTFS分區》。
提醒:該軟體用到了Window XP中的7個系統文件,他們分別是:autochk.exe、C_437.NLS、C_1252.NLS、L_INTL.NLS、NTDLL.DLL、NTFS.SYS、ntoskrnl.exe。
首先先進入Windows Me,然後找到加密的文件夾把裡面的文件復制到任何文件夾即可。然後,打開文件看看文件的內容是不是你想要的。
不過這種方法適用范圍不大,因為大多數人都對所有的文件加了密。所以,我們有必要平時備份好EFS加密文件的證書,免得「後悔一輩子」。在已備份加密文件證書的情況下,可以使用以下方法找回加密文件:
備份密鑰:當有備份的密鑰時我們重裝系統也不會怕打不開以前加過密的文件了。點擊「開始→運行」,在「運行」對話框中輸入「certmgr.msc」打開證書管理器,點擊「證書→當前用戶」下的「個人→證書」(看不到?你都沒有加密的文件怎麼會有證書?)選擇「證書」右擊,選擇「所有任務→導出」,在彈出的「證書導出向導」中選取「導出私鑰」,隨後選擇保存證書的目錄,按回車後,私鑰便成功導出。
當要重新裝系統的時候便把原來保存的私鑰導入即可。
設置Windows 恢復代理(以下以magic用戶為例):
STEP1:首先以magic這個用戶登錄系統。
STEP2:在「運行」對話框中輸入「cipher /r:c:\magic」(magic可以是其他任何名字)回車後要求輸入一個密碼,隨便輸入一個回車後便在c盤里出現magic.cer和magic.pfx兩個文件。
STEP3:安裝magic.pfx證書,輸入剛才設置的保護證書的密碼,一路按NEXT就完成了證書的安裝。
STEP4:在「開始→運行」輸入「gpedit.msc」,打開組策略編輯器,在「計算機配置→Windows設置→安全設置→公鑰策略→正在加密文件系統」下,右擊彈出右鍵菜單,選擇「添加數據恢復代理」,打開「添加故障恢復代理向導」打開magic.cer,然後按幾次下一步就完成了恢復代理的設置。最後,就可以用magic這個用戶名解密加密的文件了。
2. 第一次使用efs加密後為什麼應及時備份密鑰
因為無論是加密還是解密文件,都需要用到個人密鑰。加密文件的時候使用公鑰,解密文件的時候則使用相對應的私鑰。那麼無論是丟失了公鑰還是私鑰,都會給我們的使用帶來麻煩,尤其是私鑰,丟失之後就再也無法解密文件了。為了保證數據安全,最好能在加密文件之後立即將自己的密鑰備份出來,並保存到安全的地方,以防系統崩潰或其他原因導致數據無法解密。
當用戶的密鑰丟失後,例如重裝了操作系統,或者無意中刪除了某個賬戶,只要找到之前導出的pfx 文件,用滑鼠右鍵點擊,並選擇「安裝PFX」,之後會出現一個導入向導,按照導入向導的提示完成操作,之前加密的數據也就全部可以正確打開。
3. 機器重裝系統,文件用windows加密,但efs文件未備份出來,以前的系統也未備份,如何找回原先的efs文件
使用的是EFS加密,如果沒有備份加密證書的話,那就你節哀順變吧!恢復的可能性很小。
你可以試一下下面的小方法:
1.工具-文件夾選項-查看-使用簡單文件夾共享 (把前面的勾勾去掉)
2.在加密的文件上點右鍵-屬性-安全-高級-所有者-替換所有者(把下面替換子容器的選項打上勾) 替換成你自己的用戶
這個方法能用,你就算運氣好,不行的話我也沒有辦法 了!
EFS加密非常危險,我推薦你使用專業的文件夾加密軟體文件夾加密超級大師來加密您的文件夾。
4. 如何破解efs加密
本文適用於Windows XP Professional單機環境,並假設沒有恢復代理(DRF)和共享訪問帳戶(多個DDF)。
任務描述
如果某個用戶把自己的登錄帳戶刪除,那麼其他用戶將無法訪問其EFS加密文件。更可惡的是,一旦公司里的某個用戶心懷怨氣,惡意加密了本屬於別的用戶的重要文件,將會導致嚴重問題。一般情況下,這些EFS加密文件已經被判了死刑,但是實際上只要滿足以下條件的話,我們還是可以在末日來臨之前打開逃生的天窗:
(1) 必須知道該被刪帳戶的密碼。
(2) 該被刪帳戶的配置文件必須存在。如果使用「本地用戶和組」管理單元刪除帳戶,則配置文件保留的機會很大,如果使用「用戶帳戶」控制面板刪除帳戶,則有一半機會保留配置文件。如果配置文件不幸被刪,則只能祈禱可以藉助Easy Recovery之類的數據恢復工具進行恢復。
可能有些朋友會覺得這兩個條件比較苛刻,此處賣個關子先……
EFS加密原理
大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
(1) 隨機生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
(2) 這個FEK會被當前帳戶的公鑰進行加密,加密後的FEK副本保存在文件$EFS屬性的DDF欄位里。
(3) 要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然後用FEK去解密文件。
看到這里,似乎EFS的脈絡已經很清晰,其實不然,這樣還不足於確保EFS的安全性。系統還會對EFS添加兩層保護措施:
(1) Windows會用64位元組的主密鑰(Master Key)對私鑰進行加密,加密後的私鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID[/i]
提示 Windows系統里的各種私有密鑰,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。
(2) 為了保護主密鑰,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密後的主密鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Protect\SID[/i]
整個EFS加密的密鑰架構如圖1所示。
圖1
提示 EFS密鑰的結構部分,參考自《Windows Internals 4th》的第12章。
回到「任務描述」部分所述的兩個條件,現在我們應該明白原因了:
(1) 必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。
提示 難怪Windows XP和2000不同,管理員重設帳戶密碼,也不能解密EFS文件。
(2) 該被刪帳戶的配置文件必須存在:加密後的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底「鬼子不能進村」。重裝系統後,原來的配置文件肯定被刪,這時候當然不可能恢復EFS文件。
可能有用戶會想,只需新建一個同名的用戶帳戶,然後把原來配置文件復制給新帳戶,不就可以解密EFS文件了?原因在於帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規方法是不可能奏效的。我們必須另闢蹊徑,讓系統再造一個完全一樣的SID!
恢復步驟
為了方便描述,這里假設被刪帳戶的用戶名為Admin,Windows安裝在C盤。
1.再造SID
注意 本方法取自「聲明」部分提到的那篇文章。
首先確認被刪帳戶的SID,這里可以進入以下文件夾:
C:\Documents and Settings\Admin[/i]\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該被刪帳戶的SID為名的文件夾,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID為1004)
現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的。
在Windows 中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進制類型的數據,在偏移量0048處的四個位元組,定義下一個帳戶的RID。那麼也就是說,只需要修改0048處的四個位元組,就能達到目的(讓新建帳戶獲得1004的RID)!
確認好以後,別忘記把Admin帳戶的配置文件轉移到別的地方!
(1) 默認情況下,只有system帳戶才有許可權訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
psexec -i -d -s %windir%\regedit.exe
提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側的F鍵值。
(3) 這里要說明一下,Windows是以十六進制、而且以反轉形式保存下一個帳戶的RID。什麼意思呢?也就是說,如果是1004的RID,對應十六進制就是03EC,但是我們必須把它反轉過來變成EC03,再擴展為4個位元組,就是EC 03 00 00。
所以,我們應該把F鍵值的0048偏移量處,把其中四個位元組改為「EC 03 00 00」,如圖2所示。
圖2
(4) 重要:別忘了重啟計算機!
(5) 重啟以後,新建一個同名帳戶Admin,它的SID應該和以前是完全一樣。如果不相信的話,可以藉助GetSID或者PsGetSID等工具測試一下。
2.「破解」EFS
接下來的方法就非常簡單了,用新建的Admin帳戶身份登錄系統,隨便加密一個文件,然後注銷,用管理員帳戶登錄系統,把原來保留的配置文件復制到C:\Documents and Settings\Admin[/i]文件夾下。
再用Admin帳戶登錄系統,現在可以解密原來的EFS文件了。
疑難解答
1.如果已經重裝系統,那怎麼辦?
「聲明」部分提到的那篇文章里提到,如果還記得原來帳戶的密碼,並且配置文件沒有被刪除的話,還有希望。這時候可以藉助sysinternals的 NEWSID工具把系統的計算機SID重設為原來的值,再用前面描述的方法構造所需的RID,這樣就可以獲得所需的帳戶SID。剩餘步驟完全一樣。
http://www.sysinternals.com/Utilities/NewSid.html
2.有用戶曾經遇到這樣的問題:登錄系統時收到提示說密碼過期,需要重設,重設密碼登錄後發現打開EFS文件。
KB890951提到這個問題。其解釋是因為在修改密碼時,系統還沒有載入配置文件
(有點語焉不詳),原文如下:
This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
配置文件和EFS有何相干?看完本文,大家應該知道,EFS的私鑰和主密鑰都是保存在配置文件里的。由於配置文件沒有載入,所以主密鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導致主密鑰無法正確解密,從而無法解密私鑰和FEK。這就是問題的真正原因。
該KB提供了一個內部補丁,可以解決這個問題。KB890951的鏈接如下:
http://support.microsoft.com/kb/890951
3.有關公鑰的問題
為了容易理解,筆者故意忽略了公鑰。公鑰保存也保存在帳戶的配置文件里:
%UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
在EFS恢復的操作中,必須確保公鑰也要復制到新帳戶的配置文件里。盡管看起來公鑰與EFS解密無關(它負責加密)。
原來,加密文件$EFS屬性的DDF欄位里除了有帳戶SID和加密的FEK副本外,還有公鑰的指紋信息(Public Key Thumbprint)和私鑰GUID信息(私鑰的某種散列值)。系統在掃描加密文件$EFS屬性中的DDF欄位時,根據用戶配置文件里的公鑰中所包含的公鑰指紋和私鑰GUID信息,當然還有帳戶的SID,來判斷該帳戶是否具有對應的DDF欄位,從而判斷該用戶是否屬於合法的EFS文件擁有者。
所以公鑰也很重要。
當然公鑰是可以「偽造」的(可以偽造出所需的公鑰指紋和私鑰GUID),以欺騙EFS系統,具體方法可以參考國外的那篇原稿,此處不再贅述。
加強EFS的安全
由於EFS把所有的相關密鑰都保存在Windows分區,所以這可能給EFS帶來一定的安全隱患。目前有一些第三方工具號稱可以破解EFS,這些工具首先攻擊SAM配置單元文件,嘗試破解帳戶密碼,從而破解帳戶密碼→主密鑰的加密密鑰→主密鑰→EFS私鑰→FEK的「密鑰鏈」。
為了防止攻擊者窺視我們的EFS文件,可以藉助以下三種方法:
1.導出刪除私鑰
可以用證書向導導出EFS加密證書和私鑰,並且在「證書導出向導」對話框里選擇刪除私鑰,如圖3所示。
圖3
刪除私鑰以後,攻擊者就沒有辦法訪問EFS加密文件了,而我們需要訪問時,只需導入先前備份的證書和私鑰即可。
2.System Key提供額外的保護
System Key可以對SAM配置單元文件和EFS私鑰提供額外保護。Windows XP的System Key默認保存在本地,我們可以運行syskey命令,強制系統將System Key保存在軟盤里,或者用啟動密碼(startup password)來生成System Key。
由於EFS「密鑰鏈」的根密鑰(System Key)沒有保存在本地計算機中, 所以攻擊者將更加難以破解EFS加密。
提示 BitLocker加密的recovery key,類似於syskey的startup password,都是藉助啟動時所輸入的一串密碼來生成所需的密鑰。
3.BitLocker提供更徹底的保護
本方法僅適用於Windows Vista(Enterprise和Ultimate Edition)。
最徹底的保護方法,首推Windows Vista新引入的BitLocker加密,這時候Windows分區的所有內容全部被加密(包括SAM配置單元、EFS密鑰)。
BitLocker(TPM1.2)
加密可以看成是Windows啟動保護器。在系統啟動時,TPM晶元會負責分析各個重要的啟動組件,以判斷自己是否位於原來的計算機環境。如果是的話,就依次釋放BitLocker
加密所需的密鑰鏈,我們才能順利地訪問Windows,才能訪問EFS文件。
如果攻擊者企圖把硬碟掛接到別的計算機上,系統就會拒絕釋放密鑰,整個Windows Vista分區處於加密狀態。
如果攻擊者竊取了計算機,並且竊取了BitLocker所需所有條件(TPM晶元自不必說,假設也獲得密鑰U盤)。這時候系統能夠順利引導,並且成功釋放 BitLocker密鑰鏈。但是攻擊者還必須想辦法知道帳戶的密碼,否則無法登錄系統,Windows分區依然處於加密狀態。
EFS額外保護的原理如圖4所示。
圖4
4.題外話:為什麼釋放BitLocker密鑰以後,Windows分區依然處於加密狀態?
所以盡管BitLocker密鑰已經釋放,但是Windows分區並沒有被立即全部解密。否則每次啟動,都要解密整個Windows分區,得花多少時間(筆者的Vista分區完全解密,共花3小時)!
原來BitLocker加密是以一個FVE Filter Driver來實現加密和解密,該Filter Driver處於文件系統驅動的下層。登錄系統以後,用戶需要訪問文件時,文件系統會自動請求FVE Filter Driver進行解密,猜想應該是一次解密一個Block,每個Block可能是512位元組(和EFS一樣),不敢確定。對於用戶來說,這個過程是完全透明的,同時對性能的影響很小,幾乎可以忽略不計。EFS加密的情況有點類似。
參考資料:http://blog.sina.com.cn/s/blog_541cc1350100l7jp.html
5. 第1次使用efs加密後為什麼應及時備份密鑰
及時備份密鑰,即便重裝系統或升級系統,也能打開加密文件.當用戶的密鑰丟失後,如重裝了操作系統,或者無意中刪除了某個賬戶,只需恢復密鑰即可.
如果沒有備份密鑰,那你這些文件轉移電腦,或是此台電腦重做系統,更換用戶後,你將無法打開這些文件,就作廢了。所以一定要記得備份、
6. win7系統下,有一重要文件夾使用系統自帶加密後,重裝了系統,無密匙備份,請問如何才能解密
您使用的方法是EFS加密。
EFS加密後是需要備份加密證書的,如果不備份證書,重裝系統或者等換用戶後,文件就無法打開。如果你備份的有加密證書,你可以導入證書,然後解密。如果沒有備份就沒有辦法了。
你可以試一下下面的小方法:
1.工具-文件夾選項-查看-使用簡單文件夾共享
(把前面的勾勾去掉)
2.在加密的文件上點右鍵-屬性-安全-高級-所有者-替換所有者(把下面替換子容器的選項打上勾)
替換成你自己的用戶
這個方法能用,你就算運氣好,不行的話我也沒有辦法
了!
EFS加密非常危險,我推薦你使用專業的文件夾加密軟體—
文件夾加密超級大師
來加密您的文件夾。
7. EFS加密文件怎麼恢復
EFS加密文件怎麼恢復,使用的是EFS加密,如果沒有備份加密證書的話,那就你節哀順變吧!恢復的可能性很小。
你可以試一下下面的小方法:
1.工具-文件夾選項-查看-使用簡單文件夾共享
(把前面的勾勾去掉)
2.在加密的文件上點右鍵-屬性-安全-高級-所有者-替換所有者(把下面替換子容器的選項打上勾)
替換成你自己的用戶
這個方法能用,你就算運氣好,不行的話我也沒有辦法
了!
EFS加密非常危險,我推薦你使用專業的文件夾加密軟體文件夾加密超級大師來加密您的文件夾。