Cómo descifrar el cifrado efs
Este artículo se aplica a un entorno independiente de Windows XP Professional y asume que no hay agente de recuperación (DRF) ni cuenta de acceso compartido (múltiples DDF).
Descripción de la tarea
Si un usuario elimina su cuenta de inicio de sesión, otros usuarios no podrán acceder a sus archivos cifrados EFS. Lo que es aún más repugnante es que una vez que un usuario de la empresa está resentido y cifra maliciosamente archivos importantes que pertenecen a otros usuarios, se producirán problemas graves. En circunstancias normales, estos archivos cifrados EFS han sido condenados a muerte, pero de hecho, siempre que se cumplan las siguientes condiciones, aún podemos abrir la claraboya para escapar antes del fin del mundo:
(1 ) Debes saber qué eliminar. La contraseña de la cuenta.
(2) El archivo de configuración de la cuenta eliminada debe existir. Si elimina la cuenta utilizando el complemento Usuarios y grupos locales, existe una buena posibilidad de que se conserve el perfil, y si elimina la cuenta utilizando el panel de control de Cuentas de usuario, existe la mitad de posibilidades de que el perfil se elimine. retenido. Si lamentablemente el archivo de configuración se elimina, sólo puede rezar para que se pueda restaurar con la ayuda de una herramienta de recuperación de datos como Easy Recovery.
Algunos amigos pueden pensar que estas dos condiciones son relativamente duras, así que intentémoslo primero...
Principio de cifrado EFS
Como todos sabemos , el cifrado real de EFS Combina cifrado simétrico y cifrado asimétrico:
(1) Genere aleatoriamente una clave de cifrado de archivos (llamada FEK) para cifrar y descifrar archivos.
(2) Esta FEK se cifrará mediante la clave pública de la cuenta actual y la copia FEK cifrada se almacenará en el campo DDF del atributo $EFS del archivo.
(3) Para descifrar un archivo, primero debe usar la clave privada del usuario actual para descifrar la FEK y luego usar la FEK para descifrar el archivo.
Al ver esto, parece que el contexto de EFS ya está muy claro, pero este no es el caso. Esto no es suficiente para garantizar la seguridad de EFS. El sistema también agregará dos capas de medidas de protección a EFS:
(1) Windows utilizará una clave maestra de 64 bytes para cifrar la clave privada, y la clave privada cifrada se guardará en el siguiente archivo Carpeta:
UserProfile\Application Data\Microsoft\Crypto\RSA\SID[/i]
Solicita que varias claves privadas en el sistema Windows utilicen la clave maestra correspondiente Cifrar. El cifrado BitLocker para Windows Vista también cifra la FVEK (clave de cifrado de volumen completo) con su clave maestra.
(2) Para proteger la clave maestra, el sistema cifrará la clave maestra (la clave utilizada se deriva de la contraseña de la cuenta) y la clave maestra cifrada se guarda en la siguiente carpeta:
UserProfile\Application Data\Microsoft\Protect\SID[/i]
La estructura completa de la clave de cifrado EFS se muestra en la Figura 1.
Figura 1
Consejos: La parte estructural de la clave EFS se refiere al Capítulo 12 de "Windows Internals 4th".
Volviendo a las dos condiciones descritas en la sección "Descripción de la tarea", ahora debemos entender por qué:
(1) Se debe conocer la contraseña de la cuenta eliminada: no hay contraseña de la cuenta, la clave maestra no se puede descifrar. Porque su clave de cifrado se deriva de la contraseña de la cuenta.
Consejos No es de extrañar que Windows XP sea diferente al 2000. Los administradores no pueden descifrar archivos EFS incluso si restablecen la contraseña de la cuenta.
(2) El archivo de configuración de la cuenta eliminada debe existir: la clave privada cifrada y la clave maestra (incluido el certificado y la clave pública) se almacenan en el archivo de configuración, por lo que el archivo de configuración debe ser Don' No lo pierdas, de lo contrario será completamente "Los japoneses no pueden entrar a la aldea".
Después de reinstalar el sistema, los archivos de configuración originales definitivamente se eliminarán. Por supuesto, es imposible restaurar los archivos EFS en este momento.
Algunos usuarios pueden pensar que pueden descifrar archivos EFS simplemente creando una nueva cuenta de usuario con el mismo nombre y copiando el archivo de configuración original a la nueva cuenta. La razón radica en el SID de la cuenta, porque el SID del nuevo usuario no puede ser el mismo que el de la cuenta anterior, por lo que es imposible que funcione el método convencional. ¡Debemos encontrar otra manera de permitir que el sistema cree un SID idéntico!
Pasos de recuperación
Para facilitar la descripción, se supone que el nombre de usuario de la cuenta eliminada es Admin y que Windows está instalado en la unidad C.
1. Reingeniería de SID
Nota Este método está tomado del artículo mencionado en la sección "Descargo de responsabilidad".
Primero confirma el SID de la cuenta eliminada. Aquí puedes ingresar a la siguiente carpeta:
C:\Documents and Settings\Admin[/i]\Application Data\Microsoft\Crypto. \RSA
Debe haber una carpeta con el nombre del SID de la cuenta eliminada, por ejemplo, S-1-5-21-4662660629-873921405-788003330-1004 (RID es 1004)
p>
Ahora tenemos que intentar que la nueva cuenta también tenga un RID de 1004, para que podamos conseguir el objetivo.
En Windows, el RID asignado a la siguiente cuenta recién creada está determinado por el valor de la clave F de la clave de registro HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account. El valor de la clave F es un tipo de datos binario, cuatro bytes en el desplazamiento 0048, que define el RID de la siguiente cuenta. En otras palabras, ¡solo necesita modificar los cuatro bytes en 0048 para lograr el objetivo (dejar que la nueva cuenta obtenga el RID de 1004)!
Después de confirmar, ¡no olvides transferir el archivo de configuración de la cuenta de administrador a otro lugar!
(1) De forma predeterminada, solo la cuenta del sistema tiene permiso para acceder a HKEY_LOCAL_MACHINE\SAM Aquí, en la ventana del símbolo del sistema CMD, ejecute el siguiente comando para abrir el editor de registro como la cuenta del sistema:
psexec -i -d -s windir\regedit.exe
Puedes descargar psexec desde el siguiente sitio web:
/s/blog_541cc1350100l7jp.html