文件名变成绿色的一个可试方法.pdf

重装系统后文件名变成绿色的一个可试方法 如果你的文件勾选过 加密以便保护数据 ，而你又没有备份密匙，那么在重装系统后，这些文件将无法打 开 正好朋友也遇到这个问题 在网络上搜索了一下 发现一篇BLOG 于是分享 来自：/blogs/ahpeng/archive/2007/06/11/2173.aspx EFS 加密的一线生机－加密帐户被删的补救方法 引子：看到新闻组里那么多网友“哭诉”EFS 问题，早就想写一篇EFS 的文章。但是苦于手头资料太少，很多概念尚未圆润贯通，匆匆草就之下，这误 人子弟的罪责，怕是逃不过的。 声明：本文参考了国外一篇“牛”文，由于要掌握这篇国外文章，读者必须具备一些NTFS 底层知识，否则 难窥其堂奥。故此笔者四处网罗资料，加上穿凿附会，希望能帮助读者诸君更方便省时地领会这篇文章， 舞好EFS 这把双刃剑。文章链接如下： /efsrecovery/index.php 这里需要提醒用户注意：本文并非为了证明微软的EFS 存在 “漏洞”，也不是专为马大哈们准备的包治百 病的“后悔药”。事实上如果没有导出EFS 证书和私钥，那么一旦删除用户、或者重装系统，EFS 加密文件 就不属于你了。 提示 本文适用于Windows XP Professional 单机环境，并假设没有恢复代理(DRF)和共享访问帐户 (多个DDF)。 任务描述 如果某个用户把自己的登录帐户删除，那么其他用户将无法访问其EFS 加密文件。更可恶的是，一旦公司 里的某个用户心怀怨气，恶意加密了本属于别的用户的重要文件，将会导致严重问题。一般情况下，这些 EFS 加密文件已经被判了死刑，但是实际上只要满足以下条件的话，我们还是可以在末日来临之前打开逃 生的天窗： (1) 必须知道该被删帐户的密码。 (2) 该被删帐户的配置文件必须存在。如果使用“本地用户和组”管理单元删除帐户，则配置文件保留的机 会很大，如果使用“用户帐户”控制面板删除帐户，则有一半机会保留配置文件。如果配置文件不幸被删， 则只能祈祷可以借助Easy Recovery 之类的数据恢复工具进行恢复。 可能有些朋友会觉得这两个条件比较苛刻，此处卖个关子先…… EFS 加密原理 大家知道，EFS 加密实际上综合了对称加密和不对称加密： (1) 随机生成一个文件加密密钥(叫做FEK)，用来加密和解密文件。 (2) 这个FEK 会被当前帐户的公钥进行加密，加密后的 FEK 副本保存在文件$EFS 属性的DDF 字段里。 (3) 要想解密文件，首先必须用当前用户的私钥去解密FEK，然后用FEK 去解密文件。 看到这里，似乎EFS 的脉络已经很清晰，其实不然，这样还不足于确保EFS 的安全性。系统还会对EFS 添加两层保护措施： (1) Windows 会用64 字节的主密钥(Master Key)对私钥进行加密，加密后的私钥保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 提示 Windows 系统里的各种私有密钥，都用相应的主密钥进行加密。Windows Vista 的BitLocker 加密，也 用其主密钥对FVEK(全卷加密密钥)进行加密。 (2) 为了保护主密钥，系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来)，加密后的主密钥 保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Protect\SID 整个EFS 加密的密钥架构如图 1 所示。 图1 提示 EFS 密钥的结构部分，参考自《Windows Internals 4th》的第12 章。 回到“任务描述”部分所述的两个条件，现在我们应该明白原因了： (1) 必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生 而来的。 提示 难怪Windows XP 和2000 不同，管理员重设帐户密码，也不能解密EFS 文件。 (2) 该被删帐户的配置文件必须存在：加密后的私钥和主密钥(还包括证书和公钥)，都保存在配置文件里， 所以配置文件万万不可丢失，否则就会彻底“鬼子不能进村”。重装系统后，原来的配置文件肯定被删，这 时候当然不可能恢复EFS 文件。 可能有用户会想，只需新建一个同名的用户帐户，然后把原来配置文件复制给新帐户，不就可以解密EFS 文件了？原因在于帐户的SID，因为新建用户的SID 不可能和老帐户一样，所以常规方法是不可能奏效的。 我们必须另辟蹊径，让系统再造一个完全一样的SID ！