加密fek
① 如何解決加密文件求大神幫助
EFS加密實際上綜合了對稱加密和不對稱加密: *隨即生成一個文件加密密鑰(稱為FEK),用來加密和解密文件。 *這個FEK會被當前用賬戶的公鑰進行加密,加密後的FEK副本保存在文件$EFS屬性的DDF欄位里 *要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然後用FEK去解密文件。 系統還會對EFS添加兩層保護措施: 1. win會用64位元組的主密鑰對私密鑰進行加密 2. 為了保護主密鑰,系統會對主密鑰本身進行加密 、 、 、 所以這個解密的條件是: 1. 必須知道該被刪賬戶的密碼 2. 該被刪賬戶的配置文件必須存在 註:新建用戶的SID不可能和老賬戶一樣,所以想通過新建一個與原來名字相同的賬戶是不能解密的。 選自《黑客攻擊與防衛》
② windows 文件讀寫加密原理
EFS加密是windows系統自帶的加密方式。
2EFS加密原理 當用戶生成加密文件時, 隨機密碼產生器生成一個對稱密鑰FEK,既用作加密文件,又用作解密文件;EFS使用FEK加密文件中的數據。
③ 為什麼EFS只對NTFS格式文件加密是微軟有技術難題嗎
EFS是Encrypting File System,加密文件系統的縮寫,他可以被應用在windows 2000以上的操作系統且為NTFS5格式的分區上(windows xp home不支持).
EFS 只能對存儲在磁碟上的數據進行加密,是一種安全的本地信息加密服務.EFS使用核心的的文件加密技術在NTFS卷上存儲加密文件.
它可以防止那些未經允許的對敏感數據進行物理訪問的入侵者(偷取筆記本電腦,硬碟等)
EFS是如何工作的
當一個用戶使用EFS去加密文件時,必須存在一個公鑰和一個私鑰,如果用戶沒有,EFS服務自動產生一對。對於初級用戶來說,即使他完全不懂加密,也能加密文件,可以對單個文件進行加密,也可以對一個文件夾進行加密,這樣所有寫入文件夾的文件將自動被加密。
一旦用戶發布命令加密文件或試圖添加一個文件到一個已加密的文件夾中,EFS將進行以下幾步:
第一步:NTFS首先在這個文件所在卷的卷信息目錄下(這個目錄隱藏在根目錄下面)創建一個叫做efs0.log的日誌文件,當拷貝過程中發生錯誤時利用此文件進行恢復。
第二步:然後EFS調用CryptoAPI設備環境.設備環境使用Microsoft Base Cryptographic Provider 1.0 產生密匙,當打開這個設備環境後,EFS產生FEK(File Encryption Key,文件加密密匙).FEK的長度為128位(僅US和Canada),這個文件使用DESX加密演算法進行加密。
第三步: 獲取公有/私有密匙對;如果這個密匙還沒有的話(當EFS第一次被調用時),EFS產生一對新的密匙.EFS使用1024位的RSA演算法去加密FEK.
第四步:EFS為當前用戶創建一個數據解密塊Data Decryptong Field(DDF),在這里存放FEK然後用公有密匙加密FEK.
第五步:如果系統設置了加密的代理,EFS同時會創建一個數據恢復塊Data Recovery Field(DRF),然後把使用恢復代理密匙加密過的FEK放在DRF.每定義一個恢復代理,EFS將會創建一個Data Recovery Agent(DRA).Winxp沒有恢復代理這個功能,所以沒有這一步.,這個區域的目的是為了在用戶解密文件的中可能解密文件不可用。這些用戶叫做恢復代理,恢復代理在EDRP(Encryption Data Recovery Policy,加密數據恢復策略)中定義,它是一個域的安全策略。如果一個域的EDRP沒有設置,本地EDRP被使用。在任一種情況下,在一個加密發生時,EDRP必須存在(因此至少有一個恢復代理被定義)。DRF包含使用RSA加密的FEK和恢復代理的公鑰。如果在EDRP列表中有多個恢復代理,FEK必須用每個恢復代理的公鑰進行加密,因此,必須為個恢復代理創建一個DRF。
第六步:包含加密數據、DDF及所有DRF的加密文件被寫入磁碟。
第七步: 在加密文件所在的文件夾下將會創建一個叫做Efs0.tmp的臨時文件.要加密的內容被拷貝到這個臨時文件,然後原來的文件被加密後的數據覆蓋.在默認的情況下,EFS使用128位的DESX演算法加密文件數據,但是Windows還允許使用更強大的的168位的3DES演算法加密文件,這是FIPS演算法必須打開,因為在默認的情況下它是關閉的.
第八步:在第一步中創建的文本文件和第七步中產生的臨時文件被刪除。
加密過程圖片可參考 http://www.ntfs.com/images/encryption.gif
文件被加密後,只有可以從DDF或是DRF中解密出FEK的用戶才可以訪問文件.這種機制和一般的安全機制不同並意 味著要想訪問文件,除了要有訪問這個文件的權力外還必須擁有被用戶的公有密匙加密過的FEK.只有使用私有密匙解密文件的用戶才可以訪問文件.這樣的話會有一個問題:就是一個可以訪問文件的用戶可把文件加密之後,文件真正的擁有者卻不能訪問文件.解決這個問題的辦法:用戶加密文件的時候只創建一個文件解密塊Data Decryption Field(DDF),但是只後他可以增加附加用戶到密匙隊列.這種情況下,EFS簡單地把FEK用想給其他用戶訪問權的用戶的私有密匙加密.然後用這些用戶的公有密匙加密FEK,新增加的DDF和第一個DDF放在一起(這些新增加的用戶對文件只有訪問的權力).
解密的過程和加密的過程是相反的,參考http://www.ntfs.com/images/decryption.gif
④ 完全磁碟加密保護的是什麼狀態的數據
是EFS加密系統。
EFS(Encrypting File System,加密文件系統)是Windows 2000/XP所特有的一個實用功能,對於NTFS卷上的文件和數據,都可以直接被操作系統加密保存,在很大程度上提高了數據的安全性。
EFS加密是基於公鑰策略的。在使用EFS加密一個文件或文件夾時,系統首先會生成一個由偽隨機數組成的FEK (File Encryption Key,文件加密鑰匙),然後將利用FEK和數據擴展標准X演算法創建加密後的文件,並把它存儲到硬碟上,同時刪除未加密的原始文件。隨後系統利用你的公鑰加密FEK,並把加密後的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統首先利用當前用戶的私鑰解密FEK,然後利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統稱為密鑰),則會首先生成密鑰,然後加密數據。如果你登錄到了域環境中,密鑰的生成依賴於域控制器,否則它就依賴於本地機器。
1.僅對管理員開放 如一樓所說的 就是進行加密 設置密碼 2 對指定用戶開放 舉一個最常見的例子 windows xp安裝時默認的共享方式是「簡單共享」,從而導致無法設置共享密碼,您可以取消這種共享方式,改用帶有用戶名和密碼的共享方式。具體的操作步驟如下所述。 1.取消默認的「簡單共享」。雙擊打開「我的電腦」,依次選擇「工具→文件夾選項」,在打開的對話框中單擊「查看」標簽,接著用滑鼠點去「使用簡單共享(推薦)」項前的對勾。 2.創建共享用戶。在系統桌面上用滑鼠依次選擇「開始→控制面板」,隨後打開「用戶賬號」,創建一個帶有密碼的用戶,如創建用戶名為abc。 3.設置需要共享的文件夾。右擊需要共享的文件夾(假設該共享文件夾為files),單擊「共享和安全」按鈕,隨後選擇「共享→共享該文件夾」,單擊「許可權」按鈕,接著單擊「刪除」按鈕將原先任何用戶(everyone)都可以共享該文件夾的許可權刪除,再單擊「添加」按鈕,依次單擊「高級→立即查找」,選擇用戶abc,單擊「確定」按鈕添加用戶abc,並選擇用戶abc的共享許可權。以後區域網中的電腦要想查看您所設置的共享文件夾內容時,只有輸入正確的用戶名和密碼才能進入
⑤ 電腦文件加密後怎麼樣復原
1,系統自帶的efs加密系統原理如下:
首先用sid生成密鑰(公鑰和私鑰)和fek,再用公鑰來加密fek,用fek和x演算法創建加密後的文件並存到硬碟上,最後刪除原始文件。
2,加密時,用私鑰解密fek,再用fek加密文件,然後文件夾變綠色了。
3,加密後,將文件拷貝到其它電腦上,由於其他電腦上的sid和加密時的sid並不相同,於是無法解密fek,也無法解密出文件,於是文件就無效了,打不開了。
4,在本地打開時,由於sid是正確的,於是fek也正確解密了,再用fek解密文件時,也就正確解密出正確的文件了,就和沒有加密前是一樣的。
⑥ 系統重裝之後加密文件夾如何解密
使用EFS加密的文件,在文件加密後會在系統下產生一個公鑰,然後在您當前用戶賬戶下產生一個私鑰。解密該文件是需要同時擁有公鑰和私鑰的情況下才能夠正常解密,二者不可缺其一。
目前您的系統已經進行了重新安裝,那麼系統下的公鑰已經沒有了,其次重新安裝系統後,用戶賬戶需要重新配置,即使您重新配置賬戶時相關的用戶賬戶信息和原賬戶一模一樣,但是您的這個賬戶下也是沒有解密需要的私鑰,故您的這個情況目前是無法解密該文件的。
在文件使用EFS加密之後,系統會提示您備份密鑰文件,在執行備份之後,該文件會保存在此電腦>>文檔(默認路徑)。如果持有密鑰備份信息,那麼您在將加密文件復制到其他設備上之後,在將密鑰信息文件也導入到新的設備中,那麼您可以在新設備下打開加密文件。如果沒有該文件的話是無法打開的。
重裝windows10後不能解密。如果有備份證書的,密碼也記得,請問怎樣解密。
有證書的情況下,可以嘗試win+R後輸入certmgr.msc,進入證書,選中個人後右鍵,選擇所有任務,導入。根據向導進行提示,瀏覽選擇證書時,選擇現在持有的CER證書,導入到個人存儲區中。
完成後選中個人,查看右邊的證書列表,找到剛剛導入的證書,右鍵該證書,選擇所有任務,用相同秘鑰續訂證書,完成後再看下是否解密成功。
這個操作可以解決,不過不需要 相同密鑰續訂證書。因續訂失敗,報錯說「請求不包含證書模板信息」。但是導入後就行了
-------------.
點擊「開始→運行」菜單項,在出現的對話框中輸入「certmgr.msc」,回車後,在出現的「證書」對話框中依次雙擊展開「證書-當前用戶→個人→證書」選項,在右側欄目里會出現以你的用戶名為名稱的證書。選中該證書,點擊滑鼠右鍵,選擇「所有任務→導出」命令,打開「證書導出向導」對話框。
在向導進行過程中,當出現「是否要將私鑰跟證書一起導出」提示時,要選擇「是,導出私鑰」選項,接著會出現向導提示要求密碼的對話框。為了安全起見,可以設置證書的安全密碼。當選擇好保存的文件名及文件路徑後,點擊「完成」按鈕即可順利將證書導出,此時會發現在保存路徑上出現一個以PFX為擴展名的文件。
當其他用戶或重裝系統後欲使用該加密文件時,只需記住證書及密碼,然後在該證書上點擊右鍵,選擇「安裝證書」命令,即可進入「證書導入向導」對話框。按默認狀態點擊「下一步」按鈕,輸入正確的密碼後,即可完成證書的導入,這樣就可順利打開所加密的文件
⑦ 電腦有些文件加密後變成綠色,怎麼復原。
1,系統自帶的EFS加密系統原理如下: 首先用SID生成密鑰(公鑰和私鑰)和FEK,再用公鑰來加密FEK,用FEK和X演算法創建加密後的文件並存到硬碟上,最後刪除原始文件。 2,加密時,用私鑰解密FEK,再用FEK加密文件,然後文件夾變綠色了。 3,加密後,將文件拷貝到其它電腦上,由於其他電腦上的SID和加密時的SID並不相同,於是無法解密FEK,也無法解密出文件,於是文件就無效了,打不開了。 4,在本地打開時,由於SID是正確的,於是FEK也正確解密了,再用FEK解密文件時,也就正確解密出正確的文件了,就和沒有加密前是一樣的。
⑧ 文件被加密,如何解密呢急
XP系統EFS加密破解的一線希望
如果某個用戶把自己的登錄帳戶刪除,那麼其他用戶將無法訪問其EFS加密文件。更可惡的是,一旦公司里的某個用戶心懷怨氣,惡意加密了本屬於別的用戶的重要文件,將會導致嚴重問題。一般情況下,這些EFS加密文件已經被判了死刑,但是實際上只要滿足以下條件的話,我們還是可以在末日來臨之前打開逃生的天窗:
(1) 必須知道該被刪帳戶的密碼。
(2) 該被刪帳戶的配置文件必須存在。如果使用「本地用戶和組」管理單元刪除帳戶,則配置文件保留的機會很大,如果使用「用戶帳戶」控制面板刪除帳戶,則有一半機會保留配置文件。如果配置文件不幸被刪,則只能祈禱可以藉助Easy Recovery之類的數據恢復工具進行恢復。
可能有些朋友會覺得這兩個條件比較苛刻,此處賣個關子先……
EFS加密原理
大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
(1) 隨機生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
(2) 這個FEK會被當前帳戶的公鑰進行加密,加密後的FEK副本保存在文件$EFS屬性的DDF欄位里。
(3) 要想解密文件,首先必須用當前用戶的私鑰去解密FEK,然後用FEK去解密文件。
看到這里,似乎EFS的脈絡已經很清晰,其實不然,這樣還不足於確保EFS的安全性。系統還會對EFS添加兩層保護措施:
(1) Windows會用64位元組的主密鑰(Master Key)對私鑰進行加密,加密後的私鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID
提示 Windows系統里的各種私有密鑰,都用相應的主密鑰進行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進行加密。
(2) 為了保護主密鑰,系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來),加密後的主密鑰保存在以下文件夾:
%UserProfile%\Application Data\Microsoft\Protect\SID
整個EFS加密的密鑰架構如圖1所示。
圖1
提示 EFS密鑰的結構部分,參考自《Windows Internals 4th》的第12章。
回到「任務描述」部分所述的兩個條件,現在我們應該明白原因了:
(1) 必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。
提示 難怪Windows XP和2000不同,管理員重設帳戶密碼,也不能解密EFS文件。
(2) 該被刪帳戶的配置文件必須存在:加密後的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底「鬼子不能進村」。重裝系統後,原來的配置文件肯定被刪,這時候當然不可能恢復EFS文件。
可能有用戶會想,只需新建一個同名的用戶帳戶,然後把原來配置文件復制給新帳戶,不就可以解密EFS文件了?原因在於帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規方法是不可能奏效的。我們必須另闢蹊徑,讓系統再造一個完全一樣的SID!
恢復步驟
為了方便描述,這里假設被刪帳戶的用戶名為Admin,Windows安裝在C盤。
1.再造SID
注意 本方法取自「聲明」部分提到的那篇文章。
首先確認被刪帳戶的SID,這里可以進入以下文件夾:
C:\Documents and Settings\Admin\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該被刪帳戶的SID為名的文件夾,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID為1004)
現在我們要設法讓新建帳戶同樣具有1004的RID,這樣就能達到目的。
在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進制類型的數據,在偏移量0048處的四個位元組,定義下一個帳戶的RID。那麼也就是說,只需要修改0048處的四個位元組,就能達到目的(讓新建帳戶獲得1004的RID)
確認好以後,別忘記把Admin帳戶的配置文件轉移到別的地方!
(1) 默認情況下,只有system帳戶才有許可權訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
pexec -i -d -s %windir%\regedit.exe
提示 可以在以下網站下載psexec:
http://www.sysinternals.com/Utilities/PsExec.html
(2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側的F鍵值。
(3) 這里要說明一下,Windows是以十六進制、而且以反轉形式保存下一個帳戶的RID。什麼意思呢?也就是說,如果是1004的RID,對應十六進制就是03EC,但是我們必須把它反轉過來變成EC03,再擴展為4個位元組,就是EC 03 00 00。
所以,我們應該把F鍵值的0048偏移量處,把其中四個位元組改為「EC 03 00 00」,如圖2所示。
圖2
(4) 重要:別忘了重啟計算機!
(5) 重啟以後,新建一個同名帳戶Admin,它的SID應該和以前是完全一樣。如果不相信的話,可以藉助GetSID或者PsGetSID等工具測試一下。
2.「破解」EFS
接下來的方法就非常簡單了,用新建的Admin帳戶身份登錄系統,隨便加密一個文件,然後注銷,用管理員帳戶登錄系統,把原來保留的配置文件復制到C:\Documents and Settings\Admin文件夾下。
再用Admin帳戶登錄系統,現在可以解密原來的EFS文件了。
疑難解答
1.如果已經重裝系統,那怎麼辦?
「聲明」部分提到的那篇文章里提到,如果還記得原來帳戶的密碼,並且配置文件沒有被刪除的話,還有希望。這時候可以藉助sysinternals的NEWSID工具把系統的計算機SID重設為原來的值,再用前面描述的方法構造所需的RID,這樣就可以獲得所需的帳戶SID。剩餘步驟完全一樣。
http://www.sysinternals.com/Utilities/NewSid.html
2.有用戶曾經遇到這樣的問題:登錄系統時收到提示說密碼過期,需要重設,重設密碼登錄後發現打開EFS文件。
KB890951提到這個問題。其解釋是因為在修改密碼時,系統還沒有載入配置文件(有點語焉不詳),原文如下:
This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
配置文件和EFS有何相干?看完本文,大家應該知道,EFS的私鑰和主密鑰都是保存在配置文件里的。由於配置文件沒有載入,所以主密鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導致主密鑰無法正確解密,從而無法解密私鑰和FEK。這就是問題的真正原因。
該KB提供了一個內部補丁,可以解決這個問題。KB890951的鏈接如下:
http://support.microsoft.com/kb/890951
3.有關公鑰的問題
為了容易理解,筆者故意忽略了公鑰。公鑰保存也保存在帳戶的配置文件里:
%UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
在EFS恢復的操作中,必須確保公鑰也要復制到新帳戶的配置文件里。盡管看起來公鑰與EFS解密無關(它負責加密)。
原來,加密文件$EFS屬性的DDF欄位里除了有帳戶SID和加密的FEK副本外,還有公鑰的指紋信息(Public Key Thumbprint)和私鑰GUID信息(私鑰的某種散列值)。
系統在掃描加密文件$EFS屬性中的DDF欄位時,根據用戶配置文件里的公鑰中所包含的公鑰指紋和私鑰GUID信息,當然還有帳戶的SID,來判斷該帳戶是否具有對應的DDF欄位,從而判斷該用戶是否屬於合法的EFS文件擁有者。
所以公鑰也很重要。
當然公鑰是可以「偽造」的(可以偽造出所需的公鑰指紋和私鑰GUID),以欺騙EFS系統,具體方法可以參考國外的那篇原稿,此處不再贅述。
加強EFS的安全
由於EFS把所有的相關密鑰都保存在Windows分區,所以這可能給EFS帶來一定的安全隱患。目前有一些第三方工具號稱可以破解EFS,這些工具首先攻擊SAM配置單元文件,嘗試破解帳戶密碼,從而破解帳戶密碼→主密鑰的加密密鑰→主密鑰→EFS私鑰→FEK的「密鑰鏈」。