ntfs加密文件破解

我们知道，EFS（Encrypting File System，加密文件系统）是Windows XP内置的一个实用功能，可以对NTFS分区上的文件和数据进行加密，在很大程度上提高了数据的安全性。

小李之所以可以打破EFS加密算法的保护，关键是使用了系统提供的“策略代理”方法，该方法可以让特定的用户读取所有的加密文件。

当然，该方法是针对多帐户环境而言的。

因为在该公用电脑中存在多个拥有管理员权限的帐号。

小王使用的是“Administrator”账户，而另一个同事在该机上使用的账户名称是“hongyun”，该账户同样拥有管理员权限。

小李正是借助于“hongyun”账户，才轻松突破了加密的束缚。

小李首先以“hongyun”账户登录系统，之后在“开始”→“运行”中执行“”程序，在CMD窗口首先切换到C盘根目录，之后执行命令“cipher /r:mykey”，注意其中的“mykey”为导出密钥文件名。

随后系统提示输入密码（如图1），小李输入的密码为“key9”。

当然，该密码的可以随意设置。

这样，就在C盘根目录下生成两个文件，扩展名分别为“cer”和“pfx”。

本例中生成的文件为“”和“”，其中“”为公钥证书文件，“”为代理人的私钥证书文件。

在“开始”→“运行”中运行“”命令，打开组策略编辑器窗口。

在窗口左侧的列表中依次展开“计算机配置”→“Windows设置”→“安全设置”→“公钥策略”→“正在加密文件系统”分支，在其右键菜单上点击“添加数恢复代理程序”项，弹出操作向导界面（如图2）。

在其中的“选择故障恢复代理”窗口中点击“浏览文件夹”按钮，在文件选择窗口中导入前面创建的“”文件，之后依次点击“下一步”按钮完成操作。

在资源管理器中进入D盘中的“小王的文件”文件夹，在其中任意文件的属性窗口中打开“常规”面板，点击“高级”按钮，在高级属性窗口中点击“详细信息”按钮，在信息窗口（如图3）中可以看到刚才创建的恢复代理项目。

为了防止个人信息未经授权被其他用户访问，有些朋友会采取NTFS分区访问权限加密的方式给自己的文件加把“锁”。

随着时间的推移，用户可能会由于某些原因增加/删除用户账号、重装系统……经过这些操作以后，将出现经NTFS加密的文件无法访问的情况。

由此给用户造成了很大的损失。

(图01)有没有办法在这种情况下最大程度的挽救用户的重要数据呢？下面我就自己平时积累的一些心得体会与大家分享，用实例来演示如何利用NTFS分区访问权限加密的漏洞，采用特定的的方式挽救NTFS格式分区内经过用户访问权限加密的文件。

QUOTE:问题的分析：NTFS分区访问权限加密，从原理上说是通过文件格式(NTFS)的支持，采用某种既定的算法，对用户帐号捆绑式的加密。

在win2000/xp/2003中，新建一个用户帐号，会随机生成一个ID号(ID号这个说法不够标准，正确的叫法是什么请大家自行到网上搜索查阅相关文章，这里我就权且叫它为ID号)与账号对应。

NTFS分区访问权限加密就是与对应的ID号一一对应的加密。

换句话说，重装系统以后就算使用相同的用户账号名称，但是由于对应的ID号是随机生成的，两次的ID号不相同(当然可以通过预先备份ID号的方法使其相同)，这就是造成重装系统以后导致经过NTFS分区访问权限加密过的文件和文件夹提示为没有访问权限的原因。

QUOTE:问题的解决途径：常规方式下，如果你具有administrator权限的话，可以重新设定文件的NTFS加密属性，添加当前用户为合法用户，这样就可以达到预期的访问目的。

如果用户不具备在administrator权限，或者虽然具备权限但是由于某些原因导致按照常规方法操作不成功，那么可以采用反其道行之的方式操作——Windows环境下无计可施了，我们不妨尝试在其他操作系统下(DOS、Windows 98、Linux、……)对其操作。

这样做是有理由的。

既然加密是在Windows下进行的，换句话说，NTFS磁盘格式所作的仅仅是存储加密后的权限访问信息，加密过的文件有没有访问权限也是通过Windows2000/XP/2003系统来判断。

EFS加密破解1.创建新用户，在命令提示符下输入如下命令：net user test "" /addnet localgroup administrators test /add2. 备份证书和私钥用户test账户登录系统在命令提示符下输入如下命令：cipher /r:test输入密码test，确认密码test，显示文件已成功创建，在当前用户的目录下创建了两个文件。

为公开金钥证书，包含了该代理人的私密金钥。

3.添加数据恢复代理第一步：执行“开始→运行”，输入，定位到“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下。

第二步：右键点击“正在加密文件系统”，选择“添加故障恢复代理”，按照向导添加“证书文件”，把刚才备份的证书导入进来。

4.破解EFS第一步：找到文件双击，出现的界面，连续点击两次“下一步”，输入刚才的密码t est，再连续点击“下一步”？帐户密码忘记，无法打开该帐户的EFS加密文件。

1.原理：EFS加密是基于用户的，对于账户本身的访问是没有妨碍的，因些要访问其他账户加密的EFS文件，我们只要获取他的登录密码即可。

2.适用对象：系统中有多用户，账户密码设置比较简单的账户，并且账户没有被删除。

3.方法：工具破解帐户密码。

4、操作：第一步：在系统中的某帐户下下载并安装Proactive System Password Recovery。

提示：这是一款账户密码查看软件，它使用词典猜解方法查看账户密码。

为了方便使用可以到网上下载对应的汉化版，本文以汉化版为例。

由于是破解密码软件，运行时杀毒软件可能会报警，选择“忽略”。

第二步：运行程序后，展开“Option(选项)→Gernal option(常规选项)”，在“cho se a program interface language(选择程序语言)”下选择“chinese(中文)”,然后单击“Apply”切换到中文版。

华硕ADSM加密文件解密方法如何解密在NTFS下文件加密后重装系统不能解密加密文件ME终于完成了一项几乎不可能完成的事情,呵呵!这也是一直困扰我多久的问题,现在问题解决了,也在这里和大家一起分享我的经验.大家都知道在微软win NT后的系统支持NTFS分区,这也是微软操作系统的一个直的飞跃,说直接点NTFS分区的操作系统安全性更强了.因为使用NTFS 分区的磁盘可以对文件进行权限的设置,还有加密,压缩等等的高级的功能,但是有的时候这些功能一旦设置不当可能适得其反,比如就像是我一样,前段时间里我装的是win2003,处于对NTFS那些功能的好奇,我在我的F盘上的很多文件配置了很多复杂的权限,还有加密,但是现在我改装XP后,当然还是NTFS分区哈!我发现F盘上以前做了加密的文件都不能访问了,虽然这些文件都不是很重要,那么我删除它总可以三!结果问题很严重,删除不了,系统报错,并且我是用administrator身份都不行,这个可把我考到了,这些文件占用了我大量的磁盘空间,大概有1G多吧!现在居然删不掉,我试了很多方法不行,比如在safe mode下,在Dos下,使用文件粉碎机也不能将其删除,所有办法试完了都不行,我知道可能是我以前系统做的配置造成的,但是我不能够解释原因,于是我就很长一段时间都没有管这些文件了,不过这些文件占用了我很大的磁盘空间,我很郁闷,不能够消灭他们.最近我在学习MCSE2003,目的是为了和CCNA来个互补,有利于以后的发展,我在微软的网站上下载了MCSE的课程,全是微软专家讲的,其中就讲到NTFS 分区里的文件加密,这个我知道怎么的,但不知道其厉害程度,专家一再说文件加密是用在什么国家机密文件!国防部啊!普通用户不能烂用,如果烂用造成的后果就像我上面的情况一样,文件删除不了,更别说读取了,这种情况很难处理,专家说,一般是不可挽回的,晕,我听到这里就想到我那1G的该死的文件肯定删除不了了,其实专家给出了最坏的答案,如果文件不重要就格式化磁盘,这不是废话啊!格式化磁盘当然可以搞掉那些文件,但是我这个磁盘有10G,其中有7G多是很有用的东西,格式化了,那么所有数据都没有了,但我只想删除其中那些不要的1G的文件啊!怎么办呢?我在网上搜了很多资料,比如我搜索的关键字是:"怎样删除NTFS加密文件"等等这样的关键字,但得到的答案包括"百度知道"里的最佳答案都是说没有办法,只有通过格式化来删除,还说遇到这种情况就当作是一次教训!晕!当时我都有点灰心了,因为没有人可以解决这种问题,专家都说要格式化了那肯定没有办法了,我也确实想格式化F盘!但意味着我的所有文件讲被消灭掉,但有一种办法可行,就是把有用的文件转移到其它盘,单独来格式化F盘,这个办法最可行,但是我有用的文件占7G多,其它盘只有几百兆,转移不去,我也没有多于的硬盘可供数据备份,那么就意味着根本没有任何办法可以做到单独在F 盘上删除那1G的文件,我有点灰心,但没有放弃,我仔细的分析了为什么不能删除的原因.分析:在windows里有这么几个本地用户,administrator管理员用户,普通用户,这些大家都知道,我们可以取不同的用户名来登陆操作系统,这些名子都是方便我们记忆自己取的名字,包括administrator也可以改名,但是,系统真正是不认识这些名字的,系统只认识SID号,每一个用户帐户对应一个唯一的SID号,并且相同的用户帐户对应的SID号也是不同的,可以这么说SID号是全球唯一的,SID号是你在创建用户是操作系统随机计算出来的随机数,有几十位长,SID号是通过当时创建用户时你的CPU状态,内存状态,时间等等和随机计算出来的一串号码,所以说没一个用户帐户的SID号是一样的,就算你的名字相同也不可能一样,因为随机计算啊!操作系统也是识别SID号来进行用户登陆和操作的,所以说那些文件只认以前的用户所对应的SID号,而现在的操作系统换了,所以以前操作系统的那个用户也就不存在了,具体点就是原来那个系统的某某用户的SID号在现在操作系统不存在,那么当然那些加密文件就不能删除,因为必须以前系统创建加密的那个原始用户才能对这些加密文件进行操作,包括你现在系统的administrator身都NO,不可行的,我以前那个win2003下创建加密文件的帐户名就是administrator,但现在系统的administrator不能对这些文件进行任何操作,因为原来的administrator和现在的administrator的SID号不同,所以就算名字一样SID号也不一样,因为SID号是全球唯一,补充一点,而且只在全球出现一次,就是在你创建该用户时系统随机产生的,一旦系统换了,那么以前的SID号就没有,废话多点了.来举个例子:这期的彩票特等奖号码可不可能以后再出现,那SID号就更不可能了,彩票号才几位都不可能,SID号有几十位啊!基于这种情况,是不可能把那些文件消灭掉了,因为现在不可能有以前的帐户了,唯一正确的处理办法就是格式化才能消灭他们,但是我的F盘里的东西就全没了,我有点放弃,但我还是最后仔细的分析和查看了一下文件的属性里的用户权限列表,我的administrator对那些文件不是完全访问的权限,并且是不可选状态,连鼠标都不能点击,说明不能使用管理员帐户进行删除,管理员就是最高权限了,现在都不能删除,那么还有什么帐户可以呢?我仔细想了一下并发现有一个帐户很特殊,它对那些文件保持着完全访问的权限,我很兴奋,虽然这个帐户也为鼠标不可选状态,但这已经足够了,只要我能用这个帐户登陆到我的win xp系统里,我就可以轻松搞定那些该死的文件,这个帐户叫SYSTEM,但是这个帐户怎么登陆呢?密码是多少呢?其实SYSTEM是不需要像我们启动操作系统然后在用户登陆框中输入SYSTEM和Password的,因为不需要登陆平台,虽然我不太知道SYSTEM用户在操作系统里的具体作用,但我知道它比administrator的权限更大,我使用的是一个黑客用的程序来进行登陆的,这个程序叫PsEXEc,黑客经常使用该程序来进行远程登陆,所以当你把这个程序下载下来后,系统会报错,认为它是病毒,放火墙都会要求你删除它,我用的是卡巴斯基,也报错了,但是不用管,它不是什么病毒,大家可以在网上搜一搜PsEXEc,应该有的,下载下来是一个解压包,里面就有一个程序是PsEXEc,把它解压到C:\,下面说说具体如何用这个程序来使用SYSTEM用户来登陆系统.第一步:关闭你系统的所有放火墙,不然不能使用PsEXEc,如果你怕网上有病毒攻击你的系统,你可以先把网线拔了.第二步:按下Ctrl+Alt+Del键,进程中找到explorer.exe并结束.explorer.exe当于用户桌面的程序,现在要关闭它才能用SYSTEM登陆,在"应用程序"选项卡中点击"新任务"按扭,输入"CMD"回车打开"命令提示符"窗口.第三步:在"命令提示符"窗口中输入以下命令并回车:C:\PsExec -i -s -d explorer,注意回车后SYSTEM就开始自动登陆了,不需要密码,不要关闭命令行对话框,关了就登陆不了了.当Explorer自动重启后,我们就会发现已经成功进入SYSTEM帐户环境啦!!!原理大家知道,SYSTEM是比管理员帐户权限更高的系统内置帐户.但默认情况下无法直接在登陆对话框上以SYSTEM帐户身份登陆到Windows桌面环境.实际上SYSTEM帐户早就已经"盘踞"在系统中了,连负责用户验证的Winlogon、Lsass 等进程都是以SYSTEM身份运行的,谁还能有资格检验SYSTEM呢?最后你看开始菜单里就不是显示的Administrator了,而是SYSTEM同样，按上面的操作后，解密文件只需在我的电脑中点击工具，选择“文件夹选项”，再去掉“使用简单文件夹共享”前的对号，然后在打不开的文件上右击，点击“属性”“安全”“高级”“所有者”，在所有者中点击“SYSTEM"，再点确定。

重装系统后,EFS加密文件还能解密吗问：我有几份重要的文件放在了NTFS格式的分区内，并且用Windows本身的加密功能对文件加了密，重装系统后怎么也打不开了，请问怎么样才能解密，将原来的文件打开？谢谢!答：在没有备份的情况下，要对EFS解密几乎是不可能的，虽然网上流行很多种方法，但是可行性微乎其微，建议你不要浪费时间。

因为在Windows XX/XP中，每一个用户都有一个SID(Security Identifier，安全标示符)以区分各自的身份，每个人的SID都是不相同的，具有唯一性。

在第一次加密数据的时候，操作系统就会根据加密者的 SID生成该用户的密钥，并且会把公钥和密钥分开保存起来，供用户加密和解密数据。

如果在重装系统之前没有对当前的密钥进行备份，实际上就意味着无论如何都不可能生成此前的用户密钥，而解密文件不仅需要公钥，还需要密码，所以就根本不能打开此前EFS加密过的文件夹。

你肯定会想：重新创建一个相同的用户可以打开吗？答案当然是否定的，重新创建的用户虽然与以前用户同名，但是系统却不会分配相同的SID。

记住！不可能存在相同SID！除非是克隆系统。

因此密钥也不同，加密的文件自然就无法打开了。

问：我有几份重要的文件放在了NTFS格式的分区内，并且用Windows本身的加密功能对文件加了密，重装系统后怎么也打不开了，请问怎么样才能解密，将原来的文件打开？谢谢!答：在没有备份的情况下，要对EFS解密几乎是不可能的，虽然网上流行很多种方法，但是可行性微乎其微，建议你不要浪费时间。

因为在Windows XX/XP中，每一个用户都有一个SID(Security Identifier，安全标示符)以区分各自的身份，每个人的SID都是不相同的，具有唯一性。

在第一次加密数据的时候，操作系统就会根据加密者的 SID生成该用户的密钥，并且会把公钥和密钥分开保存起来，供用户加密和解密数据。

如果在重装系统之前没有对当前的密钥进行备份，实际上就意味着无论如何都不可能生成此前的用户密钥，而解密文件不仅需要公钥，还需要密码，所以就根本不能打开此前EFS加密过的文件夹。

EFS加密和解密EFS是一种系统自带的文件加密技术，下面就讲如何进行EFS加密以及如何解密的相关知识……大家对Windows2000/XP/2003系统提供的EFS（加密文件系统）功能一定不陌生吧!它应用在NTFS文件系统中，能有效保护机器中的重要数据不被非法侵犯。

通常情况下，用户在Windows 图形界面中对文件或文件夹进行EFS加密和解密操作。

这里笔者介绍它的另一种使用方法——cipher.exe命令。

cipher.exe命令格式：CIPHER[/E|/D][/S：directory][/A][/I][/F][/H][pathname[...]]CIPHER /KCIPHER /R：filename参数介绍：/A 使用于目录和文件/D 解密指定的目录/E 加密指定的目录/F 强制加密所有指定的对象/H 显示具有隐藏、系统属性的文件/I 出现错误后，继续执行指定操作/K 为运行 cipher 的用户创建新文件加密密钥/R 生成一个 EFS 恢复代理密钥和证书，然后将它写入一个 .PFX 文件（含有证书和密钥）和一个 .CER 文件（只含有证书）中/S 在指定目录及其所有子目录的目录中执行指定操作应用实例：一、加密目录文件夹和文件1.加密F盘下的efs目录点击“开始→运行”，在运行对话框中输入“CMD”命令，弹出“命令提示符”窗口，进入到“F：\>”提示符下，然后运行“cipher /e efs”命令，接着系统提示“正在加密 f：\ 中的目录，efs [OK]，一个目录中一个目录被加密”信息后，完成“efs”目录的加密操作。

如果要加密efs目录下的所有子目录，运行“cipher /e /s：efs”命令即可。

2.加密F盘下efs1目录中的“ichat.txt”文件在命令提示符窗口中运行“cipher /e /a efs1\ichat.txt”命令后，系统提示“ichat.txt[OK]，1 个目录中的 1 个文件（或目录）已被加密”信息后，完成对ichat.txt文件的加密。