EFS加密的一线生机-加密帐户被删的补救方法

1、群组图EFS加密第一线-删除加密帐户的修复方法热【字体：尺寸】EFS加密前沿-加密帐户被删除的修复方法作者： Diyinsid文章的出处： /blogs/ahpeng/archive/2006/04/20/hack _ in _ EFS.aspx点击数： 1978更新时间： 2006-08-07引子：新闻组很多网民看了“哭言”EFS问题，从以前就想写EFS的文章。 但是，手头的资料太少，很多概念还没有流畅地贯通，抓紧的话，这个人孩子的罪，也许就逃不掉了。声明：本文以国外的“牛”文为参考，为了掌握这篇海外文章，读者必须掌握PS的基础知识。 不然，就看不到

2、那个堂奥了。 因此，笔者希望收集资料，并抓住它，帮助各位读者更方便地理解这篇文章，跳一把名为EFS的双刃剑。 文章的链接如下。/EFS恢复/index.PHP在此，为了证明微软的EFS有“漏洞”，也需要注意的是，它不是为马萨哈们准备的治疗药。 如果不实际导出EFS证书和私钥，如果删除用户或重新安装系统，则EFS加密文件不是你的。提示本文适用于windows XP专业版独立环境，假定没有恢复代理(DRF )和共享访问帐户(多个DDF )。任务说明一个用户删除自己的登录帐户后，其他用户将无法访问EFS加密文件。 更令人憎恶的是

3、，一个公司用户不满，恶意加密属于另一个用户的重要文件，会引起严重的问题。 一般来说，这些EFS加密文件被判处死刑，但实际上，只要满足以下条件，我们还能在结束前打开逃跑的天窗(1)需要知道被删除账户的密码。(2)必须存在被删除帐户的简介。 如果使用本地用户和组管理单元删除帐户，配置文件很可能会被保存。如果使用用户帐户控制面板删除帐户，配置文件可能会被保存一半。 如果不小心删除了配置文件，只能使用Easy Recovery等数据恢复工具进行恢复。也许有朋友觉得这两个条件很苛刻，但在这里卖关子之前EFS加密原理众所周知，EFS加密实际上集成了对称加密和非对称加密(1)随机生成用于对文件进行加密并译码

4、的文件加密密钥(FEK )。(2)该FEK用当前帐户的公钥加密，加密后的FEK的副本保存在文件$EFS属性的DDF字段中。(3)在译码文件时，首先必须用当前用户的私钥对FEK进行译码，然后用FEK对文件进行译码。看这里，EFS的脉络好像已经很清楚了，不然的话，就不足以确保EFS的安全性。 EFS还将增加两级保护：(1) Windows用64字节的主密钥加密秘密密钥，加密后的秘密密钥保存在以下文件夹中% user profile %application dataMicrosoftcryptoRSAsidWindows系统上的各种秘密密钥显示用对应的主密钥加密。 在windows vista b

5、itlocker加密中，FVEK (全卷加密密钥)也用主密钥加密。(2)为了保护主密钥，主密钥本身被加密(使用从帐户密码派生的密钥)，加密后的主密钥保存在以下文件夹中%用户配置文件%application dataMicrosoftprotectsid整个EFS加密的密钥体系结构如图1所示。图1提出EFS密钥的结构部分，参见Windows Internals 4th的第12章。您必须返回到“任务说明”部分中描述的两个条件，以了解原因(1)有必要知道被删除帐户的密码：如果没有帐户密码就不能解密主密钥。 因为那个加密密钥是从帐户密码派生出来的。提示难怪Windows XP和2000不一样。 管理员

6、无法重置帐户密码，并解密EFS文件。(2)该删除账户的简档必须存在：因为加密的私钥和主密钥(包括证书和公开密钥)全部保存在简档中，所以绝不能丢失简档。 否则，“鬼子不能进村”。 重新安装系统后，原始配置文件一定会被删除，此时无法复原EFS文件。您是否认为，用户只需创建一个具有相同名称的新用户帐户，并将原始配置文件复制到新帐户，就无法解密EFS文件？ 由于帐户的SID，新用户的SID与旧帐户不同，因此无法正常工作。 为了让系统重建完全相同的SID，我们必须寻找别的方法恢复程序为了便于说明，此处假设已删除帐户的用户名安装在Admin上，Windows安装在c驱动器上。1 .重建sid注意此方法来自

7、宣言部分中提到的文章。首先确认被删除帐户的SID。 在此您可以访问以下文件夹c :documentsandsettingsadmin 应用程序数据 MicrosoftcryptoRSA下面应该有一个名为“SID”的文件夹，该文件夹被删除帐户。 例如，s-1-5-21- 1004，其中rid为1004现在，想让新账户也具有1004个RID，以达到目的。在Windows中，分配给以下新帐户的RID由HKEY _ local _ machineSamSamdomainsaccount注册表项的f键值决定。 f键值是二进制类型的数据，偏移为0048的4个字节，定义以下帐户的RID : 即，仅通过修改0

8、048的4个字节就可以实现目的(让新账户获得1004个RID )！确认后，请不要忘记将管理员帐户的配置文件传输到其他位置(1)默认情况下，只有system帐户可以访问HKEY_LOCAL_MACHINESAM。 在CMD命令提示符窗口中，执行以下命令以打开注册表编辑器作为system帐户psexec-I-d-s % windir %regedit.exe提示psexec可以在以下网站上下载/utilities/psexec.html(2)转到HKEY _ local _ machineSamSamdomainsaccount注册表键，双击右侧

9、的f键值将其打开。(3)这里说明的话，Windows是十六进制，把下一个帐户的RID反转保存着。 也就是说，如果是1004 rid，对应的十六进制数是03EC，但是EC03必须反转该数字以生成EC03并扩展到4字节。因此，如图2中所示，f键值的0048偏移必须被改变为“EC 03 00 00”。图2(4)重要：不要忘记重新启动计算机！(5)重新启动后，重新创建同名的帐户Admin。 PS必须和以前一样。 如果不相信的话，可以使用GetSID和PsGetSID等工具进行测试。2 .“解密”EFS以下方法非常简单：使用新创建的管理员帐户登录到系统，随意加密文件并注销，使用管理员帐户登录到系统，然后

10、将原来的配置文件保存到c :documentsandsettingsa使用管理员帐户登录到系统后，现在可以解密原始EFS文件。故障诊断程序。1 .如果重新加载系统，该怎么办？在宣言部分提到的文章中，他说，我记得原始帐户的密码，如果配置文件没有被删除，我是有希望的。 此时，通过使用sysinternals的NEWSID工具将系统的计算机SID复位为原始值，并以上述方法构筑必要的RID，从而能够得到必要的帐户SID。 剩下的步骤完全一样。/utilities/newsid.html2 .存在以下问题：用户登录系统时，密码过期需要复位，密码复位登录

11、后，发现打开EFS文件。PS提到这个问题。 其解释是因为当修改密码时，系统还没有加载配置文件。 原文如下。这个问题是在你更改了密码之后轮廓和EFS的关系是什么？ 阅读正文后，应该知道EFS的秘密密钥和主密钥全部保存在配置文件中。 因为未加载配置文件，所以不更新主密钥的加密版本(与帐户密码的变更不对应)，主密钥未正确解密，无法解密秘密密钥和FEK。 这是问题的真正原因。该KB提供了解决这个问题的内部补丁。 PS的链接如下/kb/3 .与公钥有关的问题为了便于理解，笔者故意忽略了公钥。 公钥的保存也保存在帐户的配置文件中%用户配置文件%appl

12、ication dataMicrosoftsystem certificatesmycertificates在EFS恢复操作中，公钥也必须复制到新帐户的配置文件中。 公钥看起来与EFS解密无关，但负责加密。以往，在加密文件$EFS属性的DDF字段中，除了帐户SID和加密的FEK副本之外，还包括公开密钥的指纹信息(Public Key Thumbprint )和秘密密钥GUID信息(秘密密钥的哈希值)。当系统扫描加密文件$EFS属性的DDF字段时，根据用户配置文件的公开密钥中包含的公开密钥指纹和私有密钥GUID信息，当然，根据帐户的SID来判断该帐户是否具有对应的DDF字段，该用户公钥也很重要。

13、当然公开密钥可以“伪造”(可以伪造必要的公开密钥指纹和秘密密钥GUID )，所以欺骗EFS系统，具体的方法可以参考国外的原稿，所以在此不进行说明。加强PS的安全EFS会将所有相关密钥存储在Windows分区中，这可能给EFS带来一定的安全性风险。 现在有几个第三方工具被认为可以解读EFS。 这些工具首先攻击SAM配置单元文件，解密帐户密码，并尝试解密帐户密码主密钥加密密钥主密钥EFS秘密密钥FEK的“密钥链”。防止攻击者偷看我们的EFS文件有以下三种方法1 .秘密密钥的导出删除可以使用证书向导导出EFS加密证书和私钥，然后在证书导出向导对话框中选择删除私钥，如图3所示。图3如果删除了机密密钥，

14、攻击者就无法访问EFS加密文件，如果我们需要访问，可以导入先前备份的证书和机密密钥。2 .系统密钥提供附加保护系统密钥进一步保护SAM配置单元文件和EFS私钥。 默认情况下，Windows XP系统密钥存储在本地。 您可以执行syskey命令，强制系统将System Key保存到软盘，或使用启动密码生成System Key。由于EFS“密钥链”根密钥(System Key )不存储在本地计算机上，攻击者更难解密EFS密码。促进BitLocker加密的恢复密钥与syskey的启动密码一样，使用启动时输入的一组密码来生成所需的密钥。3.BitLocker提供了更全面的保护此方法仅适用于window

15、s vista (企业版和旗舰版)。最全面的保护方法是首先建议Windows Vista中新引入的BitLocker加密，以加密Windows分区的所有内容(包括SAM配置单元和EFS密钥)。BitLocker(TPM1.2 )加密可以看作是Windows启动程序保护。 系统启动时，TPM芯片会分析重要的启动组件，以确定自己是否在原始计算机环境中。 如果适用，请依次释放BitLocker加密所需的密钥链，以在访问EFS文件之前顺利访问Windows。攻击者尝试将硬盘连接到另一台计算机上时，系统拒绝释放密钥，整个Windows Vista分区将处于加密状态。攻击者偷了计算机，偷走了BitLock

16、er所需的所有条件(假设除了TPM芯片，还获得了钥匙内存)。 此时，系统将成功启动，BitLocker密钥链将成功释放。 但是，攻击者必须想办法知道帐户的密码。 否则，无法登录到系统，Windows分区将保持加密状态。EFS的追加保护原理如图4所示。图44 .问题外：为什么释放BitLocker密钥后，Windows分区仍保持加密状态？虽然BitLocker密钥已被释放，但是Windows分区并不立即全部解密。 每次启动时，解密整个Windows分区需要多长时间(笔者的Vista分区完全解密，总共需要3小时)！原始BitLocker加密使用fve filter驱动程序来实现加密和解密。 filter驱动程序位于文件系统驱动器的下级层。 如果用户在登录系统后需要访问文件，则预计文件系统会请求FVE Filter Driver进行解码，一次解码一个Block，每个Block可能是512个字节(与EF