成功解密一例NTFS加密(XP SP2 EFS)
作者: 来源: 添加日期:2006-11-7 13:08:34
北京一用户,原系统分为3个区,C盘安装WINDOWS XP SP2,D及E盘为用户重要数据区,其中D盘有用户特别重要的几个文件,当初为安全性考虑,设置了NTFS的EFS加密,后系统运行缓慢,重装系统。
系统重装后,再次打开D盘的那几个加密文件(DOC)时,提示"文件只读或被加密",无法打开。
这种问题很普遍,之前有很多用户因此操作导致数据丢失,造成巨大损失。但这种情况却并不是一定无药可救的。只要能从原C(原系统分区)中提取出重要的公钥及私钥(重点是私钥),数据就还是有希望的。
上述案例,重点在于,重装系统导致
1、用用户密码加密的主密钥
2、用主密钥加密的私钥
3、最初给文件加密时用的公钥
这三部分无法直接看到。而加密文件本身存储的两个数据流:密文及用公钥加密后的文件加密密钥(FEK),这两个数据流只要D盘的文件系统没问题,便不会丢失。所以只要想办法找到上述丢失的三个密钥,一层层解出私钥,再用私钥解密FEK,最终解密密文,数据但可以还原出来。
C盘已经被重新安装过,所以之前的文件不一定还存在,这是是否可以成功解密EFS文件的一个关键点。此例中,通过对C盘文件系统的分析,成功解出原先丢失的三个密钥。
接下来,需要在系统中构建原用户,使系统自动实现解密。
修改注册表中下一个用户ID,新建一与原用户名称、密码相同的用户ID;
修改注册表中机器ID为从原C 中提取出来的机器ID;
修改用户配置文件,即还原原来的主密钥、私钥及公钥。
再次打开原来的加密文件,自动解密成功! |
