EFS加密破解

　E F S 加 密 破 解 1 . 创 建 新 用 户 ， 在 命 令 提 示 符 下 输 入 如 下 命 令 ：

　 n e t u s e r t e s t " " / a d d

　 n e t l o c a l g r o u p a d m i n i s t r a t o r s t e s t / a d d 2 . 备 份 证 书 和 私 钥

　 用 户 t e s t 账 户 登 录 系 统 在 命 令 提 示 符 下 输 入 如 下 命 令 ：

　c i p h e r / r : t e s t ????输入密码 test，确认密码 test，显示文件已成功创建，在当前用户的目录下创建了两个文件。test.cer 为公开 金 钥 证 书 ， t e s t . p f x 包 含 了 该 代 理 人 的 私 密 金 钥 。

　3 . 添 加 数 据 恢 复 代 理

　 第一步：执行“开始→运行”，输入 gpedit.msc，定位到“计算机配置→Windows 设置→安全设置→公钥策略→ 正 在 加 密 文 件 系 统 ” 下 。

　 第二步：右键点击“正在加密文件系统”，选择“添加故障恢复代理”，按照向导添加“证书文件”，把刚才备份的 证 书 t e s t . c e r 导 入 进 来 。

　4 . 破 解 E F S

　 第一步：找到 test.pfx 文件双击，出现的界面，连续点击两次“下一步”，输入刚才的密码 test，再连续点击“ 下 一 步 ” ? 帐 户 密 码 忘 记 ， 无 法 打 开 该 帐 户 的 E F S 加 密 文 件 。

　 1.原理：EFS 加密是基于用户的，对于账户本身的访问是没有妨碍的，因些要访问其他账户加密的 EFS 文件 ， 我 们 只 要 获 取 他 的 登 录 密 码 即 可 。

　 2 . 适 用 对 象 ：

　系 统 中 有 多 用 户 ， 账 户 密 码 设 置 比 较 简 单 的 账 户 ， 并 且 账 户 没 有 被 删 除 。

　 3 . 方 法 ：

　工 具 破 解 帐 户 密 码 。

　 4 、 操 作 ：

　 第 一 步 ：

　在 系 统 中 的 某 帐 户 下 下 载 并 安 装 P ro a c t i v e S y s t e m P a s s w o rd R e c o v e r y 。

　 提示：这是一款账户密码查看软件，它使用词典猜解方法查看账户密码。为了方便使用可以到网上下载对应的汉化版，本文以汉化版为例。由于是破解密码软件，运行时杀毒软件可能会报警，选择“忽略”。

　 第二步：运行程序后，展开“Option(选项)→Gernaloption(常规选项)”，在“choseaprograminterfacelanguage ( 选 择 程 序 语 言 ) ” 下 选 择 “ c h i n e s e ( 中 文 ) ” , 然 后 单 击 “ A p p l y ” 切 换 到 中 文 版 。

　?????第三步：展开“主菜单→恢复 Hashes”，在右侧的窗口就可以看到当前系统各账户密码，使用相应的密码登 录 系 统 解 密 文 件 即 可 。

　重 做 系 统 后 ， 无 法 打 开 此 前 系 统 中 E F S 加 密 的 文 件 。

　 1.原理：应用工具，绕过系统，直接从系统 GHO 镜像中扫描此前系统的加密文件，然后强行破解。

　 2.适用对象：加密后制作了 GHO 镜像(加密前制作的镜像没有密钥)，并且知道加密时的账户密码。

　 3 . 方 法 ：

　工 具 强 行 破 解 加 密 文 件 。

　 4 . 操 作 ：

　 第 一 步 ：

　在 新 系 统 中 下 载 并 安 装 “ A d v a n c e d E F S D a t a R e c o v e r y ” ( 简 称 A E F S D R ) 。

　 第二步：使用 GhostExplorer 打开镜像文件，然后单击“编辑→全选”，把镜像文件全部提取到任一空白分

　区 。

　?????第三步：启动 AEFSDR 激活扫描向导，扫描分区选择“c:\”，扫描并找到密钥后，程序会提示添加用户名和 密 码 。

　用 户 名 随 意 输 入 ， 密 码 则 一 定 要 输 入 原 来 加 密 文 件 时 使 用 的 账 户 密 码 。

　???第四步：单击 Add(添加)按钮，程序开始扫描指定 NTFS 分区上的加密文件，找到文件后如图 5，单击 Next(下一步)按钮，程度提示选择一个保存加密文件的目录(如 d:)，AEFSDR 就会把提取的加密文件保存在 d:\AEFS D R _ J _ D E C R Y P T E D 目 录 下 。

　帐 户 被 删 除 ， 此 帐 户 E F S 加 密 的 文 件 无 法 打 开 。

　 1.原理：其实打开 EFS 加密的关键就在于密钥，密钥和账户一一对应，如果不慎删除账户我们就要再造一个 和 被 删 账 户 相 同 的 S I D ， 通 过 欺 骗 X P 的 方 法 打 开 加 密 文 件 。

　 2.适用对象：本机保存被删除账户的配置文件，而且能够记住原来账户密码，如果没有配置文件，请尝试使 用 数 据 恢 复 代 理 查 找 。

　 3 . 方 法 ：

　欺 骗 系 统 创 建 帐 户 。

　 4 . 操 作 ：

　 提示：假设现在有一个名为 lw 的账户加密了文件，但是这个账户已经被删除，现在需要打开 lw 账户加密的 文 件 。

　 第一步：尝试打开 C:\DocumentsandSettings\lw\ApplicationandSettings\#lw 就将它恢复到 d:\。

　第二步：打开 d:\DocumentsandSettings\lw\Applicationlw 的账户，然后把它的 RID 标识更改为 1003 即可。在Windows 中，下一个新建账户所分配的 RID 是由注册表项的 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases 键值所确定的。运行注册表编辑器，依次展开 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases，双击右侧的 F 值，选中 0048 处前四个字节，然后按退格键删除，接着输入 F0030000。(操作 前 请 先 备 份 注 册 表 ) 。

　第四步：重启电脑新建一个名为 lw 的账户，用新建的 lw 账户登录系统，启动 EFS 随意加密任一文件然后注销( X P 只 有 E F S 加 密 后 才 会 产 生 密 钥 ) 。

　 第五步：用 XP 系统里其他管理员账户登录系统，把前面提取出来的配置文件改名为 lw，复制到 C:\DocnmentsandSettings 文件夹下替换同名文件，因为 lw 登录后无法替换正在使用的配置文件。

　 第六步：替换完成后重启，再次 lw 账户登录，就可以解密原来 EFS 加密文件了。因为 XP 已经把这个新建 的 l w 账 户 “ 误 认 ” 为 是 原 来 的 账 户