A. 系統重裝後加密文件打不開怎麼辦
這個問題很復雜,我在網上找到一段資料,希望對你有幫助,謝謝。
聲明:本文參考了國外一篇「牛」文,由於要掌握這篇國外文章,讀者必須具備一些NTFS底層知識,否則難窺其堂奧。故此筆者四處網羅資料,加上穿鑿附會,希望能幫助讀者諸君更方便省時地領會這篇文章,舞好EFS這把雙刃劍。文章鏈接如下:
http://www.beginningtoseethelight.org/efsrecovery/index.php
這里需要提醒用戶注意:本文並非為了證明微軟的EFS存在 「漏洞」,也不是專為馬大哈們准備的包治百病的「後悔葯」。事實上如果沒有導出EFS證書和私鑰,那麼一旦刪除用戶、或者重裝系統,EFS加密文件就不屬於你了。
提示 本文適用於Windows XP Professional單機環境,並假設沒有恢復代理(DRF)和共享訪問帳戶(多個DDF)。
任務描述
如果某個用戶把自己的登錄帳戶刪除,那麼其他用戶將無法訪問其EFS加密文件。更可惡的是,一旦公司里的某個用戶心懷怨氣,惡意加密了本屬於別的用戶的重要文件,將會導致嚴重問題。一般情況下,這些EFS加密文件已經被判了死刑,但是實際上只要滿足以下條件的話,我們還是可以在末日來臨之前打開逃生的天窗:
(1) 必須知道該被刪帳戶的密碼。
(2) 該被刪帳戶的配置文件必須存在。如果使用「本地用戶和組」管理單元刪除帳戶,則配置文件保留的機會很大,如果使用「用戶帳戶」控制面板刪除帳戶,則有一半機會保留配置文件。如果配置文件不幸被刪,則只能祈禱可以藉助Easy Recovery之類的數據恢復工具進行恢復。
可能有些朋友會覺得這兩個條件比較苛刻,此處賣個關子先……
EFS加密原理
大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
(1) 隨機生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
(2) 這個FEK會被當前帳戶的公鑰進行加密,加密後的FEK副本保存在文件$EFS屬性的DDF欄位里。
(3) 要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然後用FEK去解密文件。
看到這里,似乎EFS的脈絡已經很清晰,其實不然,這樣還不足於確保EFS的安全性。系統還會對EFS添加兩層保護措施:
(1) Windows會用64位元組的主密鑰(Master Key)對私鑰進行加密,加密後的私鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID
提示 Windows系統里的各種私有密鑰,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。
(2) 為了保護主密鑰,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密後的主密鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Protect\SID
整個EFS加密的密鑰架構如圖1所示。
圖1
提示 EFS密鑰的結構部分,參考自《Windows Internals 4th》的第12章。
回到「任務描述」部分所述的兩個條件,現在我們應該明白原因了:
(1) 必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。
提示 難怪Windows XP和2000不同,管理員重設帳戶密碼,也不能解密EFS文件。
(2) 該被刪帳戶的配置文件必須存在:加密後的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底「鬼子不能進村」。重裝系統後,原來的配置文件肯定被刪,這時候當然不可能恢復EFS文件。
可能有用戶會想,只需新建一個同名的用戶帳戶,然後把原來配置文件復制給新帳戶,不就可以解密EFS文件了?原因在於帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規方法是不可能奏效的。我們必須另闢蹊徑,讓系統再造一個完全一樣的SID!
恢復步驟
為了方便描述,這里假設被刪帳戶的用戶名為Admin,Windows安裝在C盤。
1.再造SID
注意 本方法取自「聲明」部分提到的那篇文章。
首先確認被刪帳戶的SID,這里可以進入以下文件夾:
C:\Documents and Settings\Admin\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該被刪帳戶的SID為名的文件夾,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID為1004)
現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的。
在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進制類型的數據,在偏移量0048處的四個位元組,定義下一個帳戶的RID。那麼也就是說,只需要修改0048處的四個位元組,就能達到目的(讓新建帳戶獲得1004的RID)
確認好以後,別忘記把Admin帳戶的配置文件轉移到別的地方!
(1) 默認情況下,只有system帳戶才有許可權訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
pexec -i -d -s %windir%\regedit.exe
提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側的F鍵值。
(3) 這里要說明一下,Windows是以十六進制、而且以反轉形式保存下一個帳戶的RID。什麼意思呢?也就是說,如果是1004的RID,對應十六進制就是03EC,但是我們必須把它反轉過來變成EC03,再擴展為4個位元組,就是EC 03 00 00。
所以,我們應該把F鍵值的0048偏移量處,把其中四個位元組改為「EC 03 00 00」,如圖2所示。
圖2
(4) 重要:別忘了重啟計算機!
(5) 重啟以後,新建一個同名帳戶Admin,它的SID應該和以前是完全一樣。如果不相信的話,可以藉助GetSID或者PsGetSID等工具測試一下。
2.「破解」EFS
接下來的方法就非常簡單了,用新建的Admin帳戶身份登錄系統,隨便加密一個文件,然後注銷,用管理員帳戶登錄系統,把原來保留的配置文件復制到C:\Documents and Settings\Admin文件夾下。
再用Admin帳戶登錄系統,現在可以解密原來的EFS文件了。
疑難解答
1.如果已經重裝系統,那怎麼辦?
「聲明」部分提到的那篇文章里提到,如果還記得原來帳戶的密碼,並且配置文件沒有被刪除的話,還有希望。這時候可以藉助sysinternals的NEWSID工具把系統的計算機SID重設為原來的值,再用前面描述的方法構造所需的RID,這樣就可以獲得所需的帳戶SID。剩餘步驟完全一樣。
http://www.sysinternals.com/Utilities/NewSid.html
2.有用戶曾經遇到這樣的問題:登錄系統時收到提示說密碼過期,需要重設,重設密碼登錄後發現打開EFS文件。
KB890951提到這個問題。其解釋是因為在修改密碼時,系統還沒有載入配置文件(有點語焉不詳),原文如下:
This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
配置文件和EFS有何相干?看完本文,大家應該知道,EFS的私鑰和主密鑰都是保存在配置文件里的。由於配置文件沒有載入,所以主密鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導致主密鑰無法正確解密,從而無法解密私鑰和FEK。這就是問題的真正原因。
該KB提供了一個內部補丁,可以解決這個問題。KB890951的鏈接如下:
http://support.microsoft.com/kb/890951
3.有關公鑰的問題
為了容易理解,筆者故意忽略了公鑰。公鑰保存也保存在帳戶的配置文件里:
%UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
在EFS恢復的操作中,必須確保公鑰也要復制到新帳戶的配置文件里。盡管看起來公鑰與EFS解密無關(它負責加密)。
原來,加密文件$EFS屬性的DDF欄位里除了有帳戶SID和加密的FEK副本外,還有公鑰的指紋信息(Public Key Thumbprint)和私鑰GUID信息(私鑰的某種散列值)。
系統在掃描加密文件$EFS屬性中的DDF欄位時,根據用戶配置文件里的公鑰中所包含的公鑰指紋和私鑰GUID信息,當然還有帳戶的SID,來判斷該帳戶是否具有對應的DDF欄位,從而判斷該用戶是否屬於合法的EFS文件擁有者。
所以公鑰也很重要。
當然公鑰是可以「偽造」的(可以偽造出所需的公鑰指紋和私鑰GUID),以欺騙EFS系統,具體方法可以參考國外的那篇原稿,此處不再贅述。
加強EFS的安全
由於EFS把所有的相關密鑰都保存在Windows分區,所以這可能給EFS帶來一定的安全隱患。目前有一些第三方工具號稱可以破解EFS,這些工具首先攻擊SAM配置單元文件,嘗試破解帳戶密碼,從而破解帳戶密碼→主密鑰的加密密鑰→主密鑰→EFS私鑰→FEK的「密鑰鏈」。
為了防止攻擊者窺視我們的EFS文件,可以藉助以下三種方法:
1.導出刪除私鑰
可以用證書向導導出EFS加密證書和私鑰,並且在「證書導出向導」對話框里選擇刪除私鑰,如圖3所示。
圖3
刪除私鑰以後,攻擊者就沒有辦法訪問EFS加密文件了,而我們需要訪問時,只需導入先前備份的證書和私鑰即可。
2.System Key提供額外的保護
System Key可以對SAM配置單元文件和EFS私鑰提供額外保護。Windows XP的System Key默認保存在本地
B. 電腦重裝系統後,以前加密的文件打不開了,還可以恢復嗎
你好!你裝系統是備份還原,還有用同一光碟應該是沒問題,你可以先取消加密方式試試看,你重裝系統數據可能無法恢復!一些軟體不行的!祝你開心!
C. 系統重裝,加密文件無法打開,求高手幫忙解決
這個相當的簡單,加密的文件安裝的是那款免費的加密軟體???在安裝一次,對文件解密後再卸載了重啟看看文件是不是OK了,因為你之前加密的文件是經過你那個加密軟體的演算法加密的,只有知道他的密鑰或者演算法再逆運算過去就OK了,所以你再重新安裝下之前的加密軟體,解密後卸載掉就oK了,我從事軟體行業,QQ921242792
D. 加密文件打不開怎麼辦
可能沒救了,如果你忘記了密碼的話,可以試試這招。
一般來說,要看看你的加密軟體使用什麼樣的加密方法,有的只是用些小花招(隱藏文件,文件屬性修改,比如:高強度文件夾加密大師)。有些則非常恐怖,會把數據經過某種加密運算,一般方式無法打開。(比如微軟著名的EFS加密法)
你首先用WinRAR打開你所在的文件夾,看看有沒有什麼目錄,如果有的話打開看看,裡面可能就會有你所要的文件。如果有的話就復制出來。(這招可以用來破解高強度文件夾加密大師移動加密的文件夾)
或者在開始=>運行=>cmd.exe,輸入DIR
D:\00\(假設你的目錄是這個),然後會顯示幾個目錄(帶DIR的那個),繼續DIR
D:\00\med\(假設這是你看到的目錄),如果有文件的話,就用Copy命令(Copy
D:\00\med\文件名
D:\01\,假設是這樣)。復制完打開看看,如果是的話就可以了。
如果這招不行,或是你的加密法類似於EFS,是重寫過數據的話,要恢復幾乎是不可能的。或者你大概的想一下你的密碼,用窮舉法破解。除此以外,就是要專用的破解工具了。
經過長達兩個小時的測試,我已經找到了完善的破解方法,這種方法可以用於任何一種帶密碼輸入框的加密軟體,變通一下即可。
測試過程中,我首先對加密文件下了一番手腳(用Windows的記事本、WinHex),可是一無所獲。之後我又對加密軟體的源程序下了一番手腳(WinHex、PEiD)。是除了一堆無意義的代碼(可能是技術問題,不過我確實看不懂這些源碼中的一部分,看懂的也派不上什麼用場)。
之後我又稍稍改變了思路,准備採用調試法破解。首先,我打開了Wopti
文件加密的程序,輸入了一個錯誤的密碼,軟體出現錯誤提示框。
這個時候,我就用增強版的任務管理器(傳說是從新版Windows「盜」來的),單擊「調試」,可是由於VS.NET
2003被我卸載了,無法調試。
正在「山重水復疑無路」的時候,我用右鍵單擊了「創建轉儲文件(C)」,待轉儲完畢後,我按照提示路徑打開了這個文件。我試著看懂這些亂碼(這時候我用的是Windows自帶的記事本),可是沒有結果。接著我試著搜索文件的正確密碼,本來我並不抱多大的希望,可沒想到,竟然搜索到了,就在「WomCompress」
的右邊,在這後面有「請輸入密碼:」。
一般來說,只要搜索「請輸入密碼:」(不包括引號),並在前面幾行里的「WomCompress」
的右邊,就是我們所需要的密碼。
剩下的就不用說了,解密就是了(這個不用教了吧?)
我只知道這么多,希望能解決你的問題。
E. win7系統,前兩天對文件夾進行加密,重啟之後文件就打不開了,想要取消加密卻提示管理員許可權不夠
屬性,安全,編輯,添加,高級,立即查找,找到users,把這個添加進去,再把許可權的勾打上
不過我怎麼也感覺你登錯賬戶了呢
F. 電腦重啟後加密文件打不開了
打不開的文件可能因為重裝系統對系統安全屬性的重新設定而無法訪問這些文件。我們可以通過取得文件夾的所有權來訪問這個文件或刪除此文件。請按照下面的步驟來取得這個文件夾的所有權。
一.如果重裝的系統是 Windows XP Professional,則必須禁用「簡單文件共享」。默認情況下,Windows XP Professional 在沒有加入域時會使用「簡單文件共享」。
要禁用簡單文件共享,請按照下列步驟操作:
1. 單擊「開始」,然後單擊「我的電腦」。
2. 在「工具」菜單上,單擊「文件夾選項」,然後單擊「查看」選項卡。
3. 在「高級設置」部分中,清除「使用簡單文件共享(推薦)」復選框。
4. 單擊「確定」。
二. 右鍵單擊打不開的文件夾,然後單擊「屬性」。
三. 單擊「安全」選項卡,然後單擊「安全」消息(如果出現)中的「確定」。
四. 單擊「高級」,然後單擊「所有者」選項卡。
五. 在「名稱」列表中,單擊您的用戶名;如果您是以管理員身份登錄的,請單擊「Administrator」或「Administrators」組。如果您希望取得該文件夾內容的所有權,請選中「替換子容器及對象的所有者」復選框。
六. 單擊「確定」,然後在收到以下消息時單擊「是」:
您無權閱讀 folder name 目錄中的內容。是否用「完全控制」許可權替換目錄許可權?
如果選擇「是」,所有許可權都將被替換。
注意:folder name 是您要取得其所有權的文件夾的名稱。
七. 單擊「確定」,然後對該文件或文件夾及其內容重新應用您所希望的許可權和安全設置。
現在應該可以打開這個文件夾了。
如果您重裝的系統是Windows XP Home Edition,我們需要在安全模式下完成上述操作。要進入安全模式,請按照下面的步驟:
1. 重新啟動計算機並開始按鍵盤上的 F8 鍵。在一台配置為啟動到多操作系統的計算機上,當看到啟動菜單時可以按 F8 鍵。
2. 顯示 Windows 高級選項菜單時,選擇某個選項,然後按 Enter 鍵。
3. 當啟動菜單再次出現並且藍色文字「安全模式」出現在屏幕底部時,選擇您想啟動的安裝,然後按 Enter 鍵。
G. 電腦重裝系統後加密文件打不開怎麼辦
重裝系統後,要打開加密文件,就要重新安裝(使用)當初使用的加密軟體,恢復當初的加密環境。關鍵還是加密時輸的密碼不能忘記。
H. 電腦重裝了系統以後加密文件打不開
選文件夾屬性的高級屬性,加密內容以便保護數據,但這種方法重裝系統或出錯後,你加密的文件就再也打不開了。
所以我建議你下載專業的加密軟體,比如文件夾加密超級大師。
文件夾加密超級大師支持所有windows系統,可以加密文件夾,加密文件,保護磁碟和數據粉碎,使用起來非常方便。
非常好用,操作方便強烈推薦。
I. 電腦文件加密後,打不開是怎麼回事
打不開的文件可能因為重裝系統對系統安全屬性的重新設定而無法訪問這些文件。我們可以通過取得文件夾的所有權來訪問這個文件或刪除此文件。請按照下面的步驟來取得這個文件夾的所有權。
一.如果重裝的系統是
Windows
XP
Professional,則必須禁用「簡單文件共享」。默認情況下,Windows
XP
Professional
在沒有加入域時會使用「簡單文件共享」。
要禁用簡單文件共享,請按照下列步驟操作:
1.
單擊「開始」,然後單擊「我的電腦」。
2.
在「工具」菜單上,單擊「文件夾選項」,然後單擊「查看」選項卡。
3.
在「高級設置」部分中,清除「使用簡單文件共享(推薦)」復選框。
4.
單擊「確定」。
二.
右鍵單擊打不開的文件夾,然後單擊「屬性」。
三.
單擊「安全」選項卡,然後單擊「安全」消息(如果出現)中的「確定」。
四.
單擊「高級」,然後單擊「所有者」選項卡。
五.
在「名稱」列表中,單擊您的用戶名;如果您是以管理員身份登錄的,請單擊「Administrator」或「Administrators」組。如果您希望取得該文件夾內容的所有權,請選中「替換子容器及對象的所有者」復選框。
六.
單擊「確定」,然後在收到以下消息時單擊「是」:
您無權閱讀
folder
name
目錄中的內容。是否用「完全控制」許可權替換目錄許可權?
如果選擇「是」,所有許可權都將被替換。
注意:folder
name
是您要取得其所有權的文件夾的名稱。
七.
單擊「確定」,然後對該文件或文件夾及其內容重新應用您所希望的許可權和安全設置。
現在應該可以打開這個文件夾了。
如果您重裝的系統是Windows
XP
Home
Edition,我們需要在安全模式下完成上述操作。要進入安全模式,請按照下面的步驟:
1.
重新啟動計算機並開始按鍵盤上的
F8
鍵。在一台配置為啟動到多操作系統的計算機上,當看到啟動菜單時可以按
F8
鍵。
2.
顯示
Windows
高級選項菜單時,選擇某個選項,然後按
Enter
鍵。
3.
當啟動菜單再次出現並且藍色文字「安全模式」出現在屏幕底部時,選擇您想啟動的安裝,然後按
Enter
鍵。