主頁 > 知識庫 > winXP系統(tǒng)文件夾加過密恢復(fù)系統(tǒng)后拒絕訪問的解決方法

winXP系統(tǒng)文件夾加過密恢復(fù)系統(tǒng)后拒絕訪問的解決方法

熱門標(biāo)簽:開封外呼系統(tǒng)多少錢一個月 桂林房產(chǎn)電銷機(jī)器人公司 一知ai智能外呼系統(tǒng)排名 申請400電話流程的相關(guān)介紹 騰訊地圖標(biāo)注了不顯示名字 綿陽銷售外呼系統(tǒng) 洛陽市地圖標(biāo)注app 濮陽人工外呼系統(tǒng) 電話機(jī)器人有什么特點
[利用NTFSDOS(最新的可以,已試過可以,建立刪除文件)或者LINUX的軟件可以讀寫NTFS分區(qū)。把那些文件考到FAT32的分區(qū),就可以拉。FAT32是沒有加密功能的。EFS加密只有在NTFS格式中才有。FAT32是沒有的。一但復(fù)制到了FAT32格式上就自動失去。]

上面的是來自網(wǎng)絡(luò)的朋友的方法,具體未測試.可以試試,要是自己不是很熟悉電腦的話,可以請熟悉的朋友幫忙試試.
如果是標(biāo)題的那種是屬于EFS加密了,基本上來說,是不可能恢復(fù)了.因為破解需要安全證書.
網(wǎng)上說的EFS破解的基本上都是試圖還原系統(tǒng)盤,希望在里面能夠找到加密時系統(tǒng)的信息.
然后再進(jìn)行破解.

附上網(wǎng)上找到的一些方法,可以自行嘗試.
EFS加密的一線生機(jī)-加密帳戶被刪的補(bǔ)救方法 (原文題目)
  
  引子:看到新聞組里那么多網(wǎng)友“哭訴”EFS問題,早就想寫一篇EFS的文章。但是苦于手頭資料太少,很多概念尚未圓潤貫通,匆匆草就之下,這誤人子弟的罪責(zé),怕是逃不過的。
  聲明:本文參考了國外一篇“牛”文,由于要掌握這篇國外文章,讀者必須具備一些NTFS底層知識,否則難窺其堂奧。故此筆者四處網(wǎng)羅資料,加上穿鑿附會,希望能幫助讀者諸君更方便省時地領(lǐng)會這篇文章,舞好EFS這把雙刃劍。文章鏈接如下:
  http://www.beginningtoseethelight.org/efsrecovery/index.php
  這里需要提醒用戶注意:本文并非為了證明微軟的EFS存在 “漏洞”,也不是專為馬大哈們準(zhǔn)備的包治百病的“后悔藥”。事實上如果沒有導(dǎo)出EFS證書和私鑰,那么一旦刪除用戶、或者重裝系統(tǒng),EFS加密文件就不屬于你了。
  提示 本文適用于Windows XP Professional單機(jī)環(huán)境,并假設(shè)沒有恢復(fù)代理(DRF)和共享訪問帳戶(多個DDF)。
  任務(wù)描述
  
  如果某個用戶把自己的登錄帳戶刪除,那么其他用戶將無法訪問其EFS加密文件。更可惡的是,一旦公司里的某個用戶心懷怨氣,惡意加密了本屬于別的用戶的重要文件,將會導(dǎo)致嚴(yán)重問題。一般情況下,這些EFS加密文件已經(jīng)被判了死刑,但是實際上只要滿足以下條件的話,我們還是可以在末日來臨之前打開逃生的天窗:
  (1) 必須知道該被刪帳戶的密碼。
  (2) 該被刪帳戶的配置文件必須存在。如果使用“本地用戶和組”管理單元刪除帳戶,則配置文件保留的機(jī)會很大,如果使用“用戶帳戶”控制面板刪除帳戶,則有一半機(jī)會保留配置文件。如果配置文件不幸被刪,則只能祈禱可以借助Easy Recovery之類的數(shù)據(jù)恢復(fù)工具進(jìn)行恢復(fù)。
  可能有些朋友會覺得這兩個條件比較苛刻,此處賣個關(guān)子先……
  EFS加密原理
  大家知道,EFS加密實際上綜合了對稱加密和不對稱加密:
  (1) 隨機(jī)生成一個文件加密密鑰(叫做FEK),用來加密和解密文件。
  (2) 這個FEK會被當(dāng)前帳戶的公鑰進(jìn)行加密,加密后的FEK副本保存在文件$EFS屬性的DDF字段里。
  (3) 要想解密文件,首先必須用當(dāng)前用戶的私鑰去解密FEK,然后用FEK去解密文件。
  看到這里,似乎EFS的脈絡(luò)已經(jīng)很清晰,其實不然,這樣還不足于確保EFS的安全性。系統(tǒng)還會對EFS添加兩層保護(hù)措施:
  (1) Windows會用64字節(jié)的主密鑰(Master Key)對私鑰進(jìn)行加密,加密后的私鑰保存在以下文件夾:
  %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID
  提示 Windows系統(tǒng)里的各種私有密鑰,都用相應(yīng)的主密鑰進(jìn)行加密。Windows Vista的BitLocker加密,也用其主密鑰對FVEK(全卷加密密鑰)進(jìn)行加密。
  (2) 為了保護(hù)主密鑰,系統(tǒng)會對主密鑰本身進(jìn)行加密(使用的密鑰由帳戶密碼派生而來),加密后的主密鑰保存在以下文件夾:
  %UserProfile%\Application Data\Microsoft\Protect\SID
  整個EFS加密的密鑰架構(gòu)如圖1所示。
  圖1
  提示 EFS密鑰的結(jié)構(gòu)部分,參考自《Windows Internals 4th》的第12章。
  回到“任務(wù)描述”部分所述的兩個條件,現(xiàn)在我們應(yīng)該明白原因了:
  (1) 必須知道該被刪帳戶的密碼:沒有帳戶密碼,就無法解密主密鑰。因為其加密密鑰是由帳戶密碼派生而來的。
  提示 難怪Windows XP和2000不同,管理員重設(shè)帳戶密碼,也不能解密EFS文件。
  (2) 該被刪帳戶的配置文件必須存在:加密后的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件里,所以配置文件萬萬不可丟失,否則就會徹底“鬼子不能進(jìn)村”。重裝系統(tǒng)后,原來的配置文件肯定被刪,這時候當(dāng)然不可能恢復(fù)EFS文件。
  可能有用戶會想,只需新建一個同名的用戶帳戶,然后把原來配置文件復(fù)制給新帳戶,不就可以解密EFS文件了?原因在于帳戶的SID,因為新建用戶的SID不可能和老帳戶一樣,所以常規(guī)方法是不可能奏效的。我們必須另辟蹊徑,讓系統(tǒng)再造一個完全一樣的SID!
  恢復(fù)步驟
  為了方便描述,這里假設(shè)被刪帳戶的用戶名為Admin,Windows安裝在C盤。
  1.再造SID
  注意 本方法取自“聲明”部分提到的那篇文章。
  首先確認(rèn)被刪帳戶的SID,這里可以進(jìn)入以下文件夾:
  C:\Documents and Settings\Admin\Application Data\Microsoft\Crypto\RSA
  在其下應(yīng)該有一個以該被刪帳戶的SID為名的文件夾,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID為1004)
  現(xiàn)在我們要設(shè)法讓新建帳戶同樣具有1004的RID,這樣就能達(dá)到目的。
  在Windows中,下一個新建帳戶所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項的F鍵值所確定的。F鍵值是二進(jìn)制類型的數(shù)據(jù),在偏移量0048處的四個字節(jié),定義下一個帳戶的RID。那么也就是說,只需要修改0048處的四個字節(jié),就能達(dá)到目的(讓新建帳戶獲得1004的RID)
  確認(rèn)好以后,別忘記把Admin帳戶的配置文件轉(zhuǎn)移到別的地方!
  (1) 默認(rèn)情況下,只有system帳戶才有權(quán)限訪問HKEY_LOCAL_MACHINE\SAM,這里在CMD命令提示符窗口,運行以下命令,以system帳戶身份打開注冊表編輯器:
  pexec -i -d -s %windir%\regedit.exe
  提示 可以在以下網(wǎng)站下載psexec:
  http://www.sysinternals.com/Utilities/PsExec.html
  (2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注冊表項,雙擊打開右側(cè)的F鍵值。
  (3) 這里要說明一下,Windows是以十六進(jìn)制、而且以反轉(zhuǎn)形式保存下一個帳戶的RID。什么意思呢?也就是說,如果是1004的RID,對應(yīng)十六進(jìn)制就是03EC,但是我們必須把它反轉(zhuǎn)過來變成EC03,再擴(kuò)展為4個字節(jié),就是EC 03 00 00。
  所以,我們應(yīng)該把F鍵值的0048偏移量處,把其中四個字節(jié)改為“EC 03 00 00”,如圖2所示。
  圖2
  (4) 重要:別忘了重啟計算機(jī)!
  (5) 重啟以后,新建一個同名帳戶Admin,它的SID應(yīng)該和以前是完全一樣。如果不相信的話,可以借助GetSID或者PsGetSID等工具測試一下。
  2.“破解”EFS
  接下來的方法就非常簡單了,用新建的Admin帳戶身份登錄系統(tǒng),隨便加密一個文件,然后注銷,用管理員帳戶登錄系統(tǒng),把原來保留的配置文件復(fù)制到C:\Documents and Settings\Admin文件夾下。
  再用Admin帳戶登錄系統(tǒng),現(xiàn)在可以解密原來的EFS文件了。
  疑難解答
  1.如果已經(jīng)重裝系統(tǒng),那怎么辦?
  “聲明”部分提到的那篇文章里提到,如果還記得原來帳戶的密碼,并且配置文件沒有被刪除的話,還有希望。這時候可以借助sysinternals的NEWSID工具把系統(tǒng)的計算機(jī)SID重設(shè)為原來的值,再用前面描述的方法構(gòu)造所需的RID,這樣就可以獲得所需的帳戶SID。剩余步驟完全一樣。
  http://www.sysinternals.com/Utilities/NewSid.html
  2.有用戶曾經(jīng)遇到這樣的問題:登錄系統(tǒng)時收到提示說密碼過期,需要重設(shè),重設(shè)密碼登錄后發(fā)現(xiàn)打開EFS文件。
  KB890951提到這個問題。其解釋是因為在修改密碼時,系統(tǒng)還沒有加載配置文件(有點語焉不詳),原文如下:
  This problem occurs because the user profile for the current user is not loaded correctly after you change the password.
  配置文件和EFS有何相干?看完本文,大家應(yīng)該知道,EFS的私鑰和主密鑰都是保存在配置文件里的。由于配置文件沒有加載,所以主密鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導(dǎo)致主密鑰無法正確解密,從而無法解密私鑰和FEK。這就是問題的真正原因。
  該KB提供了一個內(nèi)部補(bǔ)丁,可以解決這個問題。KB890951的鏈接如下:
  http://support.microsoft.com/kb/890951
  3.有關(guān)公鑰的問題
  為了容易理解,筆者故意忽略了公鑰。公鑰保存也保存在帳戶的配置文件里:
  %UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  在EFS恢復(fù)的操作中,必須確保公鑰也要復(fù)制到新帳戶的配置文件里。盡管看起來公鑰與EFS解密無關(guān)(它負(fù)責(zé)加密)。
  原來,加密文件$EFS屬性的DDF字段里除了有帳戶SID和加密的FEK副本外,還有公鑰的指紋信息(Public Key Thumbprint)和私鑰GUID信息(私鑰的某種散列值)。
  系統(tǒng)在掃描加密文件$EFS屬性中的DDF字段時,根據(jù)用戶配置文件里的公鑰中所包含的公鑰指紋和私鑰GUID信息,當(dāng)然還有帳戶的SID,來判斷該帳戶是否具有對應(yīng)的DDF字段,從而判斷該用戶是否屬于合法的EFS文件擁有者。
  所以公鑰也很重要。
  當(dāng)然公鑰是可以“偽造”的(可以偽造出所需的公鑰指紋和私鑰GUID),以欺騙EFS系統(tǒng),具體方法可以參考國外的那篇原稿,此處不再贅述。
  加強(qiáng)EFS的安全
  由于EFS把所有的相關(guān)密鑰都保存在Windows分區(qū),所以這可能給EFS帶來一定的安全隱患。目前有一些第三方工具號稱可以破解EFS,這些工具首先攻擊SAM配置單元文件,嘗試破解帳戶密碼,從而破解帳戶密碼→主密鑰的加密密鑰→主密鑰→EFS私鑰→FEK的“密鑰鏈”。
  
  為了防止攻擊者窺視我們的EFS文件,可以借助以下三種方法:
  1.導(dǎo)出刪除私鑰
  可以用證書向?qū)?dǎo)出EFS加密證書和私鑰,并且在“證書導(dǎo)出向?qū)?rdquo;對話框里選擇刪除私鑰,如圖3所示。
  圖3
  刪除私鑰以后,攻擊者就沒有辦法訪問EFS加密文件了,而我們需要訪問時,只需導(dǎo)入先前備份的證書和私鑰即可。
  2.System Key提供額外的保護(hù)
  System Key可以對SAM配置單元文件和EFS私鑰提供額外保護(hù)。Windows XP的System Key默認(rèn)保存在本地

注意:

首先要弄清你使用的是EFS加密還是ACL用戶權(quán)限控制。如果選擇的是“將這個文件夾作為專用”,那么使用的是ACL用戶權(quán)限控制,解除ACL用戶權(quán)限控制方法如下:打開“控制面板→文件夾選項”,在查看標(biāo)簽頁下清除“使用簡單共享”前面的復(fù)選項,點擊確定按鈕。然后右鍵點擊C:\Documents and Settings\用戶名\ My Documents,選擇安全選項卡,在組和用戶里面把自己的賬戶添加進(jìn)去即可。如果使用的是“屬性→高級→加密以便保護(hù)數(shù)據(jù)”,那么你使用的是EFS加密技術(shù)。EFS加密技術(shù)用數(shù)字證書對文件進(jìn)行加密。要解開EFS加密,需要使用加密時進(jìn)行操作的賬戶登錄,然后進(jìn)行加密操作的逆操作。如果重新安裝過系統(tǒng),那么在未導(dǎo)入先前進(jìn)行加密操作時系統(tǒng)創(chuàng)建的證書的情況下,是無法進(jìn)行解密操作的。

標(biāo)簽:梅河口 公主嶺 四川 安徽 海東 天門 保山 山東

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《winXP系統(tǒng)文件夾加過密恢復(fù)系統(tǒng)后拒絕訪問的解決方法》,本文關(guān)鍵詞  winXP,系統(tǒng),文件夾,加,過密,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《winXP系統(tǒng)文件夾加過密恢復(fù)系統(tǒng)后拒絕訪問的解決方法》相關(guān)的同類信息!
  • 本頁收集關(guān)于winXP系統(tǒng)文件夾加過密恢復(fù)系統(tǒng)后拒絕訪問的解決方法的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章