旁敲侧击,打开EFS加密文件

本文可以学到

通过破解账户密码找回EFS加密文件

通过Ghost镜像文件打开EFS加密文件

>> 旁敲侧击，打开EFS加密文件 旁敲侧击要钱财 “旁敲侧击”更醒脑 “旁敲侧击”攻陷网站 旁敲侧击劈柴照纹 “旁敲侧击”，提升孩子的交往力 正面报道要学会“旁敲侧击” 旁敲侧击:巧解舆论监督采访难 教你旁敲侧击搞定第三者 旁敲侧击在学生工作中的运用 “旁敲侧击”提升公诉执法公信力的思考 旁敲侧击用活Vista任务管理器 基于EFS加密文件系统的研究 找回失落的EFS加密文件 如何复制EFS加密文件等 热捧“盗亦有道”不过是旁敲侧击 班主任工作的“指桑赞槐”与“旁敲侧击” EPS加密文件系统 文件加密我轻松 《历史的碎片：侧击辛亥》 常见问题解答 当前所在位置：，快车代码：CF0804CMXT04）是一款账户密码查看软件，它使用词典猜解方法查看账户密码。

软件注释：为方便使用可以到网上下载对应的汉化版，本文以汉化版为例。由于是破解密码软件，运行时杀毒软件可能会报警，选择“忽略”。

运行程序后，展开“OptionGernal option”（选项常规选项），在“chose a program interface language”下选择“chinese”，然后单击“Apply”切换到中文版。展开“主菜单恢复Hashes”，在右侧的窗口就可以看到当前系统各账户密码，使用相应的密码登录系统解密文件即可（见图2）。

小提示

对于复杂密码破解依靠软件并不一定能成功，根据微软的建议，找回EFS加密文件最好的方法是导出加密证书。第一次进行EFS加密后，单击“开始运行”输入“certmgr.msc”，打开证书管理窗口。依次展开“个人证书”，然后选中右侧窗格与账户同名的证书，右击选择“导出”，及时将证书和私钥一起导出到其他位置保存备用。以后要访问加密文件，同上打开证书管理导入证书即可。

方法2：曲线救国，强行破解加密文件

很多朋友在加密文件后又重装系统，此时在新系统下就无法访问加密文件了，如果在加密后制作了GHO镜像，我们可以利用Advanced EFS Data Recovery（以下简称为AEFSDR，下载地址：/soft/14922.htm，快车代码：CF0804CMXT05）找回密钥。

适用对象：加密后制作了GHO镜像（加密前制作的镜像没有密钥），并且知道加密时的账户密码。

首先使用Ghost Explorer打开镜像文件，然后单击“编辑全选”，把镜像文件全部提取到任一空白分区（如：D:\）。启动AEFSDR激活扫描向导，扫描分区选择“D:\”，扫描并找到密钥后，程序会提示添加用户名和密码。用户名随意输入，密码则一定要输入原来加密文件时使用的账户密码。接着单击Add（添加）按钮，程序开始扫描指定NTFS分区上的加密文件（见图3）。找到文件后，单击Next（下一步）按钮，程序提示选择一个保存加密文件的目录（如D:），AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下。

(3)

方法3：自力更生，再造账户

我们往往是删除加密账户后才发现EFS文件无法打开，此时该怎么办？其实打开EFS加密的关键就在于密钥，密钥和账户一一对应，如果不慎删除账户，我们就要再造一个和被删账户相同的SID，通过欺骗XP的方法打开加密文件。

适用对象：本机保存被删账户的配置文件，而且能够记住原来账户密码。如果没有配置文件，请尝试使用数据恢复工具查找。

假设现在有一个名为CFAN的账户加密了文件，但是这个账户已经被删除。现在需要打开CFAN账户加密的文件，具体操作如下。

小提示

SID（Security Identifiers）是标识用户、组和计算机账户的唯一的号码。在第一次创建账户系统将给它分发一个唯一的SID。XP正是通过SID验证用户，判断访问EFS加密文件的账户是否有访问权限。因为每个账户的SID是不同，所以创建一个和被删账户同名的新账户并不能打开加密文件。但是账户被删除后，如果其配置文件在本机仍然存在。我们就可以通过手动方法更改新建账户的SID，从而让XP误认为是原来的账户。

第1步：尝试打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA，看看其中是否有类似S-1-5-21-687439264-1844322744-2086245278-1008的文件夹（即被删账户SID名的目录）。如果没有该目录，我们就要使用恢复软件找回，比如用带FinalData的PE启动光盘来进行（可参考第3期《惊魂一刻――遭遇分区误删除》）。使用PE启动系统后运行FinalData，单击“文件打开”，选择C驱动器进行扫描，如果找到被删的目录C:\Documents and Settings\#FAN，就将它恢复到d:\。

第2步：打开d:\#FAN\Application Data\Microsoft\Crypto\RSA\，可以看到其中名为S-1-5-21-687439264-1844322744-2086245278-1008的目录，也就是说CFAN的SID就是S-1-5-21-687439264-1844322744-2086245278-1008，它的RID是1008（RID是SID字符串中具体账户权限标识）。

第3步：现在只要在系统新建一个名为CFAN的账户，然后把它的RID标识更改为1008即可。在Windows中，下一个新建账户所分配的RID是由[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account]注册表项的F键值所确定的。运行注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account]，双击右侧的F值，选中0048处前四个字节，然后按退格键删除，接着输入F0 03 00 00（见图4）。（操作前请先备份注册表）

第4步：重启电脑新建一个名为CFAN的账户，用新建的CFAN账户登录系统，启动EFS随意加密任一文件然后注销（XP只有使用EFS加密后才会产生密匙）。

(4)

第5步：用XP系统里其他管理员账户登录系统，把前面提取出来的配置文件改名为CFAN，复制到C:\Documents and Settings文件夹下替换同名文件。因为使用CFAN登录后无法替换正在使用的配置文件。

第6步：替换完成后重启，再次使用CFAN账户登录，就可以解密原来的EFS文件了。因为XP已经把这个新建的CFAN账户“误认”为是原来的账户。

小编有话说：虽然本文介绍很多种“破解”EFS加密的方法，但是可以看到这些方法都有很大局限性。如果在账户完全删除，本机密钥彻底丢失情况下，我们根本无法破解EFS加密文件。因此，使用EFS加密的用户，最好的方法是在第一次使用EFS加密时就及时导出证书保存，才是万全之策！

小提示

默认情况下只有system账户才能访问[HKEY_LOCAL_MACHINE\SAM\SAM]，需要右击SAM键值选择“权限”。然后添加当前用户对该键值的读取权限设置为“完全控制”。另外，Windows是以十六进制，而且以反转形式保存下一个账户的RID。1008对应十六进制是03F0，现在要反转为F003，再扩展为4个字节即F0 03 00 00。10进制转换16进制可以登录/misc.ashx?k=demention-exchange进行转换（转换结果前加0）。

小提示

新建CFAN账户并使用EFS加密后，可以打开C:\Documents and Settings\CFAN\Application Data\Microsoft\Crypto\RSA，看看是否存在S-1-5-21-687439264-1844322744-2086245278-1008目录。如不是1008则说明注册表F键值修改不成功，请重复上述编辑操作。

网络大补贴

本方法参考了盆盆《EFS加密的一线生机－加密账户被删的补救方法》：

/blogs/ahpeng/archive/2006/04/20/Hack_5F00_in_5F00_EFS.aspx