EFS加密破解.docxVIP

EFS加密破解1.创建新用户，在命令提示符下输入如下命令：　　net user test /add　　net localgroup administrators test /add2. 备份证书和私钥　　用户test账户登录系统 在命令提示符下输入如下命令：cipher /r:test ???? 输入密码test，确认密码test，显示文件已成功创建，在当前用户的目录下创建了两个文件。test.cer为公开金钥证书，test.pfx包含了该代理人的私密金钥。3.添加数据恢复代理　　第一步：执行“开始→运行”，输入gpedit.msc，定位到“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下。　　第二步：右键点击“正在加密文件系统”，选择“添加故障恢复代理”，按照向导添加“证书文件”，把刚才备份的证书test.cer导入进来。4.破解EFS　　第一步：找到test.pfx文件双击，出现的界面，连续点击两次“下一步”，输入刚才的密码test，再连续点击“下一步”?帐户密码忘记，无法打开该帐户的EFS加密文件。　　1.原理：EFS加密是基于用户的，对于账户本身的访问是没有妨碍的，因些要访问其他账户加密的EFS文件，我们只要获取他的登录密码即可。　　2.适用对象：系统中有多用户，账户密码设置比较简单的账户，并且账户没有被删除。　　3.方法：工具破解帐户密码。　　4、操作：　　第一步：在系统中的某帐户下下载并安装Proactive System Password Recovery。　　提示：这是一款账户密码查看软件，它使用词典猜解方法查看账户密码。为了方便使用可以到网上下载对应的汉化版，本文以汉化版为例。由于是破解密码软件，运行时杀毒软件可能会报警，选择“忽略”。　　第二步：运行程序后，展开“Option(选项)→Gernal option(常规选项)”，在“chose a program interface language(选择程序语言)”下选择“chinese(中文)”,然后单击“Apply”切换到中文版。????? 第三步：展开“主菜单→恢复Hashes”，在右侧的窗口就可以看到当前系统各账户密码，使用相应的密码登录系统解密文件即可。重做系统后，无法打开此前系统中EFS加密的文件。　　1.原理：应用工具，绕过系统，直接从系统GHO镜像中扫描此前系统的加密文件，然后强行破解。　　2.适用对象：加密后制作了GHO镜像(加密前制作的镜像没有密钥)，并且知道加密时的账户密码。　　3.方法：工具强行破解加密文件。　　4.操作：　　第一步：在新系统中下载并安装“Advanced EFS Data Recovery”(简称AEFSDR)。　　第二步：使用Ghost Explorer打开镜像文件，然后单击“编辑→全选”，把镜像文件全部提取到任一空白分区。????? 第三步：启动AEFSDR激活扫描向导，扫描分区选择“c:\”，扫描并找到密钥后，程序会提示添加用户名和密码。用户名随意输入，密码则一定要输入原来加密文件时使用的账户密码。??? 第四步：单击Add(添加)按钮，程序开始扫描指定NTFS分区上的加密文件，找到文件后如图5，单击Next(下一步)按钮，程度提示选择一个保存加密文件的目录(如d:)，AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下。帐户被删除，此帐户EFS加密的文件无法打开。　　1.原理：其实打开EFS加密的关键就在于密钥，密钥和账户一一对应，如果不慎删除账户我们就要再造一个和被删账户相同的SID，通过欺骗XP的方法打开加密文件。　　2.适用对象：本机保存被删除账户的配置文件，而且能够记住原来账户密码，如果没有配置文件，请尝试使用数据恢复代理查找。　　3.方法：欺骗系统创建帐户。　　4.操作：　　提示：假设现在有一个名为lw的账户加密了文件，但是这个账户已经被删除，现在需要打开lw账户加密的文件。　　第一步：尝试打开C:\Documents and Settings\lw\Application Data\Microsoft\Crypto\RSA看看其中是否有类似S-1-5-21-1659004503-789336058-839522115-1003的文件夹(即被删除SID名的目录)如图7。如果没有该目录，我们就要使用恢复软件找回。比如使用PE启动系统后运行FinaData,单击“文件→打开”，选择C驱动器进行扫描，如呆找到被删目录C:\Documents and Settings\#lw就将它恢复到d:\。第二步：打开d:\Documents and Settings\lw\Appli