曲径通幽突破EFS加密

EFS(Encrypting File System)是微软NTFS文件系统提供的加密技术，EFS是基于公钥策略的加密，与系统SID密切相关其加密强度非常高。在实际应用中因为用户的疏忽，在没有备份密钥的情况下删除了系统帐户，忘记账户密码或者重装系统等导致无法访问EFS加密文件。对此该怎么办呢?直接破解EFS加密是不可能的，因为目前为止还没有人能够破解它。其实我们可以旁敲侧击，利用工具曲径通幽来突破EFS加密。

1、被删用户的EFS加密文件

　　比如公司中某员工在离职前对数据进行了EFS加密，然后删除了当前用户使得其他员工无法打开这些加密文件。突破这种类型EFS加密案例，我们可以创建一个和被删帐户同样的帐户然后通过尝试找到被删用户的SID，最后将新用户的SID修改为被删用户的SID欺骗系统突破EFS加密。

　　假设现在有一个名为lw的账户加密了文件，但是这个账户已经被删除，现在需要打开lw账户加密的文件。具体操作步骤如下：

　　第一步：尝试打开C:\Documents and Settings\lw\Application Data\Microsoft\Crypto\RSA看看其中是否有类似S-1-5-21-1659004503-789336058-839522115-1003的文件夹(即被删除SID名的目录)如图7。如果没有该目录，我们就要使用恢复软件找回。比如使用PE启动系统后运行FinaData,单击“文件→打开”，选择C驱动器进行扫描，如呆找到被删目录C:\Documents and Settings\#lw就将它恢复到d:\。

　图1

　　第二步：打开d:\Documents and Settings\lw\Application Data\Microsoft\Crypto\RSA，可以看到其中名为S-1-5-21-1659004503-789336058-839522115-1003的目录，也就是说lw的SID就是S-1-5-21-1659004503-789336058-839522115-1003，它的RID是1003(RID是SID字符串中具体账户权限标识)。

　　第三步：现在只要在系统新建一个名为 lw的账户，然后把它的RID标识更改为1003即可。在Windows中，下一个新建账户所分配的RID是由注册表项的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases键值所确定的。运行注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases ，双击右侧的F值，选中0048处前四个字节，然后按退格键删除，接着输入F0 03 00 00。(操作前请先备份注册表)。(图2)

　　第四步：重启电脑新建一个名为lw的账户，用新建的lw账户登录系统，启动EFS随意加密任一文件然后注销(XP只有EFS加密后才会产生密钥)。用XP系统里其他管理员账户登录系统，把前面提取出来的配置文件改名为lw，复制到C:\Docnments and Settings文件夹下替换同名文件，因为lw登录后无法替换正在使用的配置文件。替换完成后重启，再次lw账户登录，就可以解密原来EFS加密文件了。因为XP已经把这个新建的lw账户“误认”为是原来的账户。

2、重做系统后打开先前的EFS加密文件

　　往往是系统做完后才发现没有备份密钥，先前所有的EFS加密文件都打不开了，这是不少用户的遭遇。要突破这样的EFS加密必须有个前提：有先前EFS加密的系统的GHO镜像并且知道加密时的账户密码。如果是这样我们可以重新安装该GHO系统读取其中的EFS加密文件。不过我们还可以利用工具绕过系统，直接从系统GHO镜像中扫描此前系统的加密文件，然后强行破解。

　　第一步：在新系统中下载并安装“Advanced EFS Data Recovery”(简称AEFSDR)使用Ghost Explorer打开镜像文件，然后单击“编辑→全选”，把镜像文件全部提取到任一空白分区。(图3)

　　第二步：启动AEFSDR激活扫描向导，扫描分区选择“c:\”，扫描并找到密钥后，程序会提示添加用户名和密码。用户名随意输入，密码则一定要输入原来加密文件时使用的账户密码。(图4)

　　第三步：单击Add(添加)按钮，程序开始扫描指定NTFS分区上的加密文件，找到文件后如图5，单击Next(下一步)按钮，程度提示选择一个保存加密文件的目录(如d:)，AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下如图6。(图5)

      (图6)

3、忘记密码后无法打开EFS加密文件

　　有些用户忘记了帐户密码无法登录系统，打不开自己EFS加密的文件，这也是很多人的遭遇。对于这样的案例我们的解决思路是利用工具破解该用户的帐户密码，然后登录系统打开文件。当然还有个前提:系统中有多用户，账户密码设置比较简单的账户，并且账户没有被删除。如果满足这几个条件，我们可以通过下面的方法进行突破。

　　第一步：在系统中的某帐户下下载并安装Proactive System Password Recovery。运行程序后，展开“Option(选项)→Gernal option(常规选项)”，在“chose a program interface language(选择程序语言)”下选择“chinese(中文)”,然后单击“Apply”切换到中文版。(图7)

　　第二步：展开“主菜单→恢复Hashes”，在右侧的窗口就可以看到当前系统各账户密码，使用相应的密码登录系统解密文件即可。(图8)

总结：可以看出上面的三个突破EFS加密的案例都有一定的局限性，只能说是没有办法的办法。因此我们要养成好习惯，进行EFS加密后一定要备份好密钥，或者设置EFS加密代理。