益友软件工作室 - 为您打造功能强大的加密软件产品
加密金刚锁是一款集加密、文件加密、文件夹加密、文件夹隐藏等加密软件技术于一体的安全软件

加密金刚锁相关技术 → 加密类技术文章 → 用Advanced EFS Data Recovery破解EFS加密文件

用Advanced EFS Data Recovery破解EFS加密文件

                             作者 xwjrain
 

从WINDOWS 2000开始(WINDOWS NT的NTFS是4.0版本的),WINDOWS系列开始支持新的磁盘格式NTFS,在问到它的优点时,支持文档加密是必提的一个重点,而这个功能也十分好用,加密之后只有本人可以浏览,并且感觉不到解密的过程,可以说实用性非常高,配合NTFS对文件/文件夹权限的分配,很好 地解决了共享使用计算机时,个人文档的安全保密问题。


但是就像有黑就有白,有矛就有盾一样,有加密就必定有解密,这次要介绍的Advanced EFS Date Recovery就是这样一个号称可以破解NTFS的EFS加密的软件,那么它是不是象宣称的那样强呢?接下来做一个实验,硬件系统为IBM的A31笔记本,软件系统为WINDOWS XP,为了方便重装,使用VMWare 5.0,虚拟安装WINDOWS XP系统,所有的实验都是在这个虚拟的WINDOWS XP下进行的。
好了,赶快开始吧:

首先描述一下实验的过程:
虚拟WINDOWS XP系统的用户:
用户名             权限
Puma               管理员
Test Admin      管理员
Test Power      Power User
Test User         User

系统分有三个硬盘,C、D和E,都是NTFS格式,先由Puma在D盘下新建一个Test文件夹,文件夹下面一共放了四个文件:


        图片一
 

然后右键单击test目录,属性→高级→加密→确定,至此,test文档应该只能由用户Puma才能打开了。
那么究竟是不是这样呢?我们继续,注销后用Test Admin用户登陆,登陆后打开D盘,我们发现Test目录呈绿色,表示经过加密了,双击打开一个文件,显示如下画面
 

图片二
 

看样子真的不能打开了,下面请出Advanced EFS Date Recovery,看它怎么解决这个问题
运行Advanced EFS Date Recovery,首先单击Scan for keys,选择C盘和D盘
 

图片三
 

Start Scan之后,Advanced EFS Date Recovery会很快找到本机上所有的证书。

看样子Advanced EFS Date Recovery用了取巧的办法,只是找到现有的证书,并用它来解密,那么是不是能成功解密呢,我们选Encrypted files选项页,选scan for Encrypted files,选择Test文件夹所在的D盘,很快就找到了,绿色表示可以解密
 

图片四


单击Decrypt,选一个存放地点,OK,我们来看看效果:
可以看到文件都被成功解密了,只是因为我使用的是未注册版本,所以只解密了小于512字节的部分,正式版应该可以完全解密的,另外,软件对中文文件名的也能很好的处理,Test Admin解密成功!
 

图片五
 

我们接着注销,用Test Power用户登陆:
直接打开test文件夹下的文件当然还是被拒绝,那么用Advanced EFS Date Recovery呢?这次我们遇到了一个问题,Advanced EFS Date Recovery提示一定要用管理员账户才可以,晕
 

图片六
 

Test Power,失败
类似的,Test User和Guest也没有成功。

从上面的实验我们可以看到Advanced EFS Date Recovery先是找到系统的证书,然后利用证书来解密,这个不怎么实用,因为我们通常是重装了系统之后才悲哀的想起来没有备份证书的,所以,还是要试一下重装系统后Advanced EFS Date Recovery还有没有效。

重装系统之前,先用ghost8.0将C盘复制到了E盘,然后格式化C盘重新安装XP。因为已经试验过只有管理员才可以实用Advanced EFS Date Recovery,所以重装系统后系统中只建立了administrator和Puma两个账号。
用管理员账户登陆后,不能访问test下的文件,这个是毫无疑问的,扫描了C盘之后得到的新的证书也不能用于解密之前的文档
 

图片七
 

但是当选择查找所有硬盘上的证书的时候,Advanced EFS Date Recovery找到了Ghost到E盘的原系统的证书,并且顺利的解密了test文件夹的所有文件

图片八

 

本帖的意义:
第一:公司的电脑除了IT人员之外很少有人有管理员权限,在这样的使用环境下,EFS加密可以很方便的保证个人文档的安全性和保密性
第二:EFS加密没有想像中那么安全,就算是不知道你的登陆密码,只要对方拥有管理员权限或者得到了你的硬盘,那么一切将不再是秘密
第三:用了EFS加密而又不小心重装了系统的兄弟,可以试试看将原来的备份Ghost回来,如果这个备份是加密之后建立的,那就恭喜你了
第四:如果经常要重装系统而又粗枝大叶的,建议还是不要用EFS加密了,用NTFS的权限控制也能起到很好的效果,并且不小心重装了系统也可以很方便的取得控制权
第五:如果你一定要用,建议备份证书,并且建立恢复代理。

特别申明

本栏目的文章都是本人从网上搜集而来,仅供大家学习研究之用,请不要用于商业目的!其中署名“佚名”的,意思是作者不详。如果某些文章未署你的名字,请来信告知,我会补上的。如果你认为某些文章侵犯了你的正当权宜,也请来信,我会将它删除。