[求助]关于NTFS加密文件-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]关于NTFS加密文件 0.00雪花

发表于: 2011-9-25 15:47 17346

[旧帖] [求助]关于NTFS加密文件 0.00雪花

冰河t

2011-9-25 15:47

17346

问题描述：XP系统，NTFS文件系统，此前由于不小心操作，将“加密内容以保护文件”勾选，具体如图：

重装系统后，忘记备份证书，现在文件无法打开，无法复制等一切操作，寻求解决办法！

[课程]Linux pwn 探索篇！

上传的附件：

222646iryr2irhvv2ypzx2.jpg （35.83kb，345次下载）

收藏・1

免费・0

支持

最新回复 (43) 1 2 ▶
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 2 楼呵呵，那你就慢慢破吧，不然這樣很難解開。 2011-9-25 15:50 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 3 楼唉……大约2G的资料都打不开了！ 2011-9-25 15:58 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 4 楼呵呵，通常遇到這個就直接放棄= =，不然就要用Linux測試看看 2011-9-25 16:13 0
零度c 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	零度c 5 楼貌似是没办法的, 微软恶心 2011-9-25 17:21 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 6 楼 linux试过了，文件在移动硬盘上，无法复制出来 2011-9-25 19:43 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 7 楼的确比较麻烦~看看有没有大牛现身！ 2011-9-30 15:22 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 8 楼在安全模式下打开电脑看那看行不行，另外期望大侠讲讲有什么破解的好方法 2011-9-30 16:23 0
zljmfk 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zljmfk 9 楼在dos下试试吧 2011-9-30 16:38 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 10 楼安全模式下试过~一样不行 2011-9-30 17:36 0
Pan88168 雪币： 439 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 7 关注私信	Pan88168 11 楼恢复的可能性不大.. 以前整个分区的软件全没了.心痛呢. 2011-9-30 18:14 0
resetinglm 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	resetinglm 12 楼用diskgen软件试试。另外复制的时候出现什么样的错误？如果是权限问题呢？ 2011-10-1 23:33 0
jkclick 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	jkclick 13 楼建议LZ上网找点容灾备份的内容！貌似可以用备份软件什么的备份出来！具体的忘了不好意思 2011-10-2 07:09 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 14 楼是权限问题，上传的附件：未命名.jpg （16.75kb，257次下载） 2011-10-2 08:09 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 15 楼 GHOST备份？试过了，不行谢谢！ 2011-10-2 08:10 0
resetinglm 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	resetinglm 16 楼发送了论谈的email给你，请注意查收愿你早日解决问题 2011-10-2 09:35 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 17 楼发ylmf2009@yeah.net吧~注册是填的邮箱早不用了！谢谢！ 2011-10-2 15:56 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 18 楼没有证书，还想什么？浪费脑细胞。加密的乱码拷出来一文不值。 2011-10-2 20:50 0
Lovelonger 雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	Lovelonger 19 楼网上找到的资料：给你一个理论上的恢复方法：恢复步骤：假设被删除的用户名为 USER，那么 C:\Documents and Settings\USER\Application Data\Microsoft\Crypto\RSA 目录下应该有一个形如 S-1-5-21-4662660629-873921405-788003330-1004 的文件夹，其中1004就是RID。以 System 权限（使用第三方软件）访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 项的 F 键值，在偏移量0048处的四个字节，定义系统下一个帐户的RID值，因此我们将改位置的值改为“EC 03 00 00”（1004的16进制值是03EC）。重启后，新建一个同名帐户 USER，它的SID就和以前是完全一样的了。之后用新建的 User 帐户身份登录系统，随便加密一个文件，然后注销，用管理员帐户登录系统，把原来保留的配置文件复制到 C:\Documents and Settings\Admin文件夹下，再用 USER 帐户登录系统，就可以解密原来的EFS文件了。 EFS加密原理： EFS加密综合了对称加密和不对称加密： (1)随机生成一个文件加密密钥(叫做FEK)，用来加密和解密文件。 (2)这个FEK会被当前帐户的公钥进行加密，加密后的FEK副本保存在文件$EFS属性的DDF字段里。 (3)要想解密文件，首先必须用当前用户的私钥去解密FEK，然后用FEK去解密文件。系统还会对EFS添加两层保护措施： (1)Windows会用64字节的主密钥(Master Key)对私钥进行加密，加密后的私钥保存在 %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 文件夹下； (2)为了保护主密钥，系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来)，加密后的主密钥保存在 %UserProfile%\Application Data\Microsoft\Protect\SID 文件夹下。注：再造相同的用户名和密码，生成的SID也会不同，因此无法通过重建用户信息而恢复。从以上原理可以分析出，要挽救这些文件，需要满足两个条件： (1)必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。 (2) 该被删帐户的配置文件必须存在：加密后的私钥和主密钥（还包括证书和公钥），都保存在配置文件里。如果使用“本地用户和组”管理单元删除帐户，则配置文件保留的机会很大；如果使用“用户帐户”控制面板删除帐户，则有一半机会保留配置文件；如果配置文件不幸被删，则只能尝试借助数据恢复工具进行恢复。 2011-10-6 03:38 0
shenju 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	shenju 20 楼 http://soft.zol.com.cn/187/1877771.html 主要是涉及了加密算法，你得破解密钥才行。单纯的修改属性，最多把那个密文文件当作明文打开，那会是乱码或不支持的格式。随便搜了哈，这个软件说他能破解ntfs加密密钥。只要密钥找到了，再解密一次就行。 2011-10-6 11:14 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 21 楼送到专业的数据恢复的公司来应该解决问题。 2011-10-6 15:19 0
ddddeeee 雪币： 159 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	ddddeeee 22 楼这个基本上已经判死刑了 2011-10-6 16:59 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 23 楼这个试过了，全部都是个红色的，也就是找不到密钥，解不开不过还是谢谢 2011-10-9 13:16 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 24 楼关键是重装了系统，事先没有任何备份 2011-10-9 13:17 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 25 楼呵呵，如果这份数据是商业机密且放在笔记本里，更巧的是丢了你就会期待微软永远恶心下去了同情lz 2011-10-9 14:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰河t

发帖

回帖

RANK

关注

私信

他的文章

[求助]关于NTFS加密文件 17347

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 2 楼呵呵，那你就慢慢破吧，不然這樣很難解開。 2011-9-25 15:50 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 3 楼唉……大约2G的资料都打不开了！ 2011-9-25 15:58 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 4 楼呵呵，通常遇到這個就直接放棄= =，不然就要用Linux測試看看 2011-9-25 16:13 0
零度c 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	零度c 5 楼貌似是没办法的, 微软恶心 2011-9-25 17:21 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 6 楼 linux试过了，文件在移动硬盘上，无法复制出来 2011-9-25 19:43 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 7 楼的确比较麻烦~看看有没有大牛现身！ 2011-9-30 15:22 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 8 楼在安全模式下打开电脑看那看行不行，另外期望大侠讲讲有什么破解的好方法 2011-9-30 16:23 0
zljmfk 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zljmfk 9 楼在dos下试试吧 2011-9-30 16:38 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 10 楼安全模式下试过~一样不行 2011-9-30 17:36 0
Pan88168 雪币： 439 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 7 关注私信	Pan88168 11 楼恢复的可能性不大.. 以前整个分区的软件全没了.心痛呢. 2011-9-30 18:14 0
resetinglm 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	resetinglm 12 楼用diskgen软件试试。另外复制的时候出现什么样的错误？如果是权限问题呢？ 2011-10-1 23:33 0
jkclick 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	jkclick 13 楼建议LZ上网找点容灾备份的内容！貌似可以用备份软件什么的备份出来！具体的忘了不好意思 2011-10-2 07:09 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 14 楼是权限问题，上传的附件：未命名.jpg （16.75kb，257次下载） 2011-10-2 08:09 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 15 楼 GHOST备份？试过了，不行谢谢！ 2011-10-2 08:10 0
resetinglm 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	resetinglm 16 楼发送了论谈的email给你，请注意查收愿你早日解决问题 2011-10-2 09:35 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 17 楼发ylmf2009@yeah.net吧~注册是填的邮箱早不用了！谢谢！ 2011-10-2 15:56 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 18 楼没有证书，还想什么？浪费脑细胞。加密的乱码拷出来一文不值。 2011-10-2 20:50 0
Lovelonger 雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	Lovelonger 19 楼网上找到的资料：给你一个理论上的恢复方法：恢复步骤：假设被删除的用户名为 USER，那么 C:\Documents and Settings\USER\Application Data\Microsoft\Crypto\RSA 目录下应该有一个形如 S-1-5-21-4662660629-873921405-788003330-1004 的文件夹，其中1004就是RID。以 System 权限（使用第三方软件）访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 项的 F 键值，在偏移量0048处的四个字节，定义系统下一个帐户的RID值，因此我们将改位置的值改为“EC 03 00 00”（1004的16进制值是03EC）。重启后，新建一个同名帐户 USER，它的SID就和以前是完全一样的了。之后用新建的 User 帐户身份登录系统，随便加密一个文件，然后注销，用管理员帐户登录系统，把原来保留的配置文件复制到 C:\Documents and Settings\Admin文件夹下，再用 USER 帐户登录系统，就可以解密原来的EFS文件了。 EFS加密原理： EFS加密综合了对称加密和不对称加密： (1)随机生成一个文件加密密钥(叫做FEK)，用来加密和解密文件。 (2)这个FEK会被当前帐户的公钥进行加密，加密后的FEK副本保存在文件$EFS属性的DDF字段里。 (3)要想解密文件，首先必须用当前用户的私钥去解密FEK，然后用FEK去解密文件。系统还会对EFS添加两层保护措施： (1)Windows会用64字节的主密钥(Master Key)对私钥进行加密，加密后的私钥保存在 %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 文件夹下； (2)为了保护主密钥，系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来)，加密后的主密钥保存在 %UserProfile%\Application Data\Microsoft\Protect\SID 文件夹下。注：再造相同的用户名和密码，生成的SID也会不同，因此无法通过重建用户信息而恢复。从以上原理可以分析出，要挽救这些文件，需要满足两个条件： (1)必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。 (2) 该被删帐户的配置文件必须存在：加密后的私钥和主密钥（还包括证书和公钥），都保存在配置文件里。如果使用“本地用户和组”管理单元删除帐户，则配置文件保留的机会很大；如果使用“用户帐户”控制面板删除帐户，则有一半机会保留配置文件；如果配置文件不幸被删，则只能尝试借助数据恢复工具进行恢复。 2011-10-6 03:38 0
shenju 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	shenju 20 楼 http://soft.zol.com.cn/187/1877771.html 主要是涉及了加密算法，你得破解密钥才行。单纯的修改属性，最多把那个密文文件当作明文打开，那会是乱码或不支持的格式。随便搜了哈，这个软件说他能破解ntfs加密密钥。只要密钥找到了，再解密一次就行。 2011-10-6 11:14 0
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 277 粉丝 0 关注私信	seuer 21 楼送到专业的数据恢复的公司来应该解决问题。 2011-10-6 15:19 0
ddddeeee 雪币： 159 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	ddddeeee 22 楼这个基本上已经判死刑了 2011-10-6 16:59 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 23 楼这个试过了，全部都是个红色的，也就是找不到密钥，解不开不过还是谢谢 2011-10-9 13:16 0
冰河t 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	冰河t 24 楼关键是重装了系统，事先没有任何备份 2011-10-9 13:17 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 25 楼呵呵，如果这份数据是商业机密且放在笔记本里，更巧的是丢了你就会期待微软永远恶心下去了同情lz 2011-10-9 14:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复