重裝系統后實戰EFS解密

公司一位同事的電腦中病毒,無藥可救,幫她還原系統后才發覺她的D盤有部分文件無法打開使用,原因是這位MM竟然給自己的文件用了WINDOWS自帶的EFS加密了。哎，真是騎虎難下！！萬不得已，只得尋找相關技術資料并試圖解密……
??? 首先我們先了解一下“EFS加密原理”：
大家知道，EFS加密實際上綜合了對稱加密和不對稱加密：
（1）隨機生成一個文件加密密鑰(叫做FEK)，用來加密和解密文件。
（2）這個FEK會被當前帳戶的公鑰進行加密，加密后的FEK副本保存在文件$EFS屬性的DDF字段里。
（3）要想解密文件，首先必須用當前用戶的私鑰去解密FEK，然后用FEK去解密文件。
看到這里，似乎EFS的脈絡已經很清晰，其實不然，這樣還不足于確保EFS的安全性。系統還會對EFS添加兩層保護措施：
??? 1）Windows會用64字節的主密鑰(Master Key)對私鑰進行加密，加密后的私鑰保存在以下文件夾：
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID?? 。提示 Windows系統里的各種私有密鑰，都用相應的主密鑰進行加密。Windows Vista的BitLocker加密，也用其主密鑰對FVEK(全卷加密密鑰)進行加密。

??? 2）為了保護主密鑰，系統會對主密鑰本身進行加密(使用的密鑰由帳戶密碼派生而來)，加密后的主密鑰保存在以下文件夾：%UserProfile%\Application Data\Microsoft\Protect\SID 。

通過上面簡單的介紹，我們可以得到這個結論，就是我們如果要對EFS進行解密必須要一下滿足以下兩點：

（1）必須知道該被刪帳戶的密碼：沒有帳戶密碼，就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。

（2）該被刪帳戶的配置文件必須存在：加密后的私鑰和主密鑰(還包括證書和公鑰)，都保存在配置文件里，所以配置文件萬萬不可丟失，否則就會徹底任務失敗。

可能大家會想，只需新建一個同名的用戶帳戶，然后把原來配置文件復制給新帳戶，不就可以解密EFS文件了？原因在于帳戶的SID，因為新建用戶的SID不可能和老帳戶一樣，所以常規方法是不可能奏效的。我們必須另辟蹊徑，讓系統再造一個完全一樣的SID！

下面就看我的具體步驟：
??
（1）把新系統進行GHOST備份。

（2）找一張DOS下的支持NTFS 的EasyRecovery光盤，使用EasyRecovery 找回賬戶配置文件（具體能不能找回該配置文件，就要看大家的運氣了，還好我的運氣不錯，找到了，不然就不知道怎么向MM交代了，呵呵）。然后把找到的用戶配置文件另存到D盤。
（3）還原第一步做的GHOST的備份，進入系統，找到剛剛我們恢復的賬戶配置文件。
（4）再造SID，首先確認帳戶的SID，這里可以進入以下文件夾：D:\明梅\Application Data\Microsoft\Crypto\RSA
在其下應該有一個以該帳戶的SID為名的文件夾，例如是S-1-5-21-1214440339-1078145449-1343024091-1004(RID為1004)現在我們要設法讓新建帳戶同樣具有1004的RID，這樣就能達到目的。

?