简析攻破Windows EFS解密技能wangyi - 千亿集团

简析攻破Windows EFS解密技能wangyi

2018-11-30 11:27:18 | 作者: 雅青 | 标签: 加密,文件,体系 | 浏览: 2125

EFS(Encrypting File System,加密文件体系)加密是一种根据NTFS磁盘技能的加密技能。EFS加密根据公钥战略。在运用EFS加密一个文件或文件夹时,体系首要会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将运用FEK和数据扩展规范X算法创立加密后的文件,并把它存储到硬盘上,一起删去未加密的原始文件。接下来体系运用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在拜访被加密的文件时,体系首要运用当时用户的私钥解密FEK,然后运用FEK解密出文件。在初次运用EFS时,假如用户还没有公钥/私钥对(统称为密钥),则会首要生成密钥,然后加密数据。假如你登录到了域环境中,密钥的生成依赖于域操控器,不然它就依赖于本地机器。

  说起来十分复杂,可是实际运用进程中就没有那么麻烦了。EFS加密的用户验证进程是在登录Windows时进行的,只需登录到Windows,就可以翻开任何一个被授权的加密文件。换句话说,EFS加密体系对用户是通明的。这也就是说,假如你加密了一些数据,那么你对这些数据的拜访将是彻底答应的,并不会遭到任何约束。而其他非授权用户企图拜访你加密过的数据时,就会收到“拜访回绝”的过错提示。

  我的电脑一般来说不会有别人运用,而我常常重装体系,又懒得备份密钥,所以我从来没有运用过Windows 2003或许Windows XP的EFS功用。今日读到了一些关于EFS密钥没有备份因此数据无法康复的求助帖子,所以俄然想出一个点子想试着解开EFS的加密。

  我结构的实验环境是在Windows XP Pro SP2体系中的一块NTFS磁盘上树立一个test文件夹,启用EFS加密。文件夹中是一个加密过的文本文件1.txt。现在我先用另一个帐户去测验读取这个文件,然后在第二个体系中(相当于重装体系没有证书的状况)再次测验读取这个文件。

  第一步,启用我体系中的GUEST帐户。

  此刻从资源管理器中是不能拜访test文件夹的。

  翻开cmd,在使命管理器中停止explorer.exe进程,翻开PsExec测验用system登录。

  失利。提示进程无法创立。看来全县不行。

  回到管理员帐户,新建一个管理员帐户test并以之登录。

  在test帐户中运转资源管理器可以拜访test文件夹,可是不能翻开1.txt加密文件。

  此刻再用上法以system登录。此刻翻开文件为乱码!

  运转IceSword.exe,在 文件 中定位test文件夹。右键挑选1.txt,仿制到桌面,文件名恣意,后缀不变。

  双击翻开文件,正常读出!第一步破解EFS成功!

  第二步,登陆Windows Server 2003 SP1体系(管理员身份)。

  运用上述办法再次仿制1.txt到桌面,翻开后呈现乱码,和system读取时状况共同。第二种测验失利。

  总结:

  本办法含义:

  现在仅适用于观察体系中其别人运用EFS加密过的文件(请读者必须不要做违法及损害别人权力的事!),在体系重装或私钥丢掉状况下的文件康复有待进一步地探究。

  本办法运用的两个软件:

  PsExec IceSword。前者是国外十分盛行的长途操控软件,指令行界面。后者则是PJF制造的国内闻名躲藏进程观察软件冰刃。

  本办法适用条件:

  1. 需求满足运转上述两个软件的权限(假如可以结合net user指令的话应该不难,这仅仅一个小提示,读者还请自律^_^)。

  2. 体系内还有该EFS加密文件对应的密钥(这一条件是根据我的开始估测)

  本办法成功的原因浅析:

  1. 运用了system帐户特有的内核级权限,这可能是可以读取管理员或其他正常用户密钥的条件。

  2. IceSword特有的读取加密文件的技能。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章