EFS加密技术的概念分析和第一解密过程

评论：EFS（加密文件系统加密，加密文件系统）是一种基于NTFS磁盘technology.efs加密加密技术是基于公钥策略。当使用EFS加密文件或文件夹，系统首先会生成一个由伪随机数FEK（文件加密，文件加密密钥），然后使用加密密钥扩展标准X算法创建加密数据。

EFS（加密文件系统加密，加密文件系统）是一种基于NTFS磁盘technology.efs加密加密技术是基于公钥策略，在使用EFS加密文件或文件夹，系统首先生成一个伪随机数组成的FEK（文件加密，文件加密密钥），然后使用标准X算法FEK和扩展来创建数据文件加密，并存储到硬盘，并删除原文件是不加密的。下一步，系统使用你的公钥加密FEK和存储加密的加密密钥的加密文件，访问加密的文件时，系统首先解密FEK的当前用户的私钥解密文件然后用FEK。EFS的先使用，如果用户没有公钥/私钥对（统称为关键），关键是先产生的数据是加密的。如果你登录到域环境中，密钥的生成依赖于域控制器，否则这取决于本地机。这是一个很复杂的说，但它是不那么麻烦的在实际使用过程中，EFS加密的用户认证过程执行时，Windows登录，任何加密的文件，授权可以打开，只要是登录到Windows。换句话说，这EFS加密系统对用户是透明的。也就是说，如果你加密了一些数据，您访问这些数据将完全Permissible并不会受到限制。而其他未经授权的用户试图访问加密的数据，他们接受访问拒绝错误提示；

我的电脑一般不会有其他人使用，但我经常重装系统，懒得备份密钥，所以我从来没有使用EFS功能的Windows 2003或Windows XP。今天读EFS密钥没有备份和数据不能恢复有帮助的帖子，让我突然想出了一个主意，解开EFS加密。

我构建了实验环境是建立在Windows XP Pro SP2系统NTFS磁盘测试文件夹，启用EFS加密，文件夹加密的文本文件，1.txt.now我试着用另一个帐户读取该文件，然后再次尝试第二系统读取这个文件（这是相当于这样的情况是在重装系统没有证书）。

第一步是在系统中启用来宾帐户。

此时无法从资源管理器访问测试文件夹。

打开CMD，终止在任务管理器中打开explorer.exe进程，PsExec尝试登录系统。

失败。无法创建提示流程。看来整个县还不够。

返回到管理员帐户并创建一个新的管理员帐户测试并登录。

运行测试帐户的资源管理器可以访问测试文件夹，但无法打开文件1.txt加密。

然后使用上层方法与系统登录。此时打开代码的文件！

运行icesword.exe和文件定位测试文件夹。右击选择1.txt，复制到桌面上，文件名是任意的，后缀是恒定的。

双击打开文件，正常读取！第一步破解EFS成功！

第二步，登陆Windows Server 2003 SP1系统（管理员身份）。

使用上述方法复制1.txt再到桌面上，当你打开代码，它与系统的读一致性。二失败。

总结：

这种方法的意义：

目前，其他人使用EFS加密文件系统中观察它只适合。（读者不得做任何违法的事，损害他人的权利！）文件恢复需要进一步探讨当系统重装或私钥丢失。

该方法使用的两个软件：

PsExec IceSword。前者是一个非常受欢迎的远程控制软件外，命令行界面，后者是由国内著名软件冰刃PJF产生看到隐藏的过程。

这种方法的适用条件如下：

1。需要足够的运行这两个软件（如果权限可以结合网络用户命令的话应该不难，这只是一个小提示，读者还请自律^ _ ^）。

有EFS加密的文件在2个关键。系统（此条件基于我的初步推测）。

这种方法成功的原因如下：

1。使用特定于系统帐户的内核级特权，这可能是读取管理员或其他正常用户密钥的条件。

2。冰刃独特技术读取加密的文件。在这一点上，在那里，我不想，我真的很想听到PJF亲自解释这是0。