耿紅梅 王艷艷 陳瑩

摘 要 Windows操作系統(tǒng)給用戶提供了加密文件系統(tǒng)，給用戶在一定程度上提供對個人隱私的保護。但當(dāng)發(fā)生意外情況，比如口令丟失、系統(tǒng)崩潰、磁盤損壞等，加密文件將無法打開。本文在簡要分析加密原理的基礎(chǔ)上，對不同情形下加密文件的恢復(fù)方法進行了初步研究。

關(guān)鍵詞 加密 解密 文件系統(tǒng)

中圖分類號：TP316.7 文獻標(biāo)識碼：A

Windows操作系統(tǒng)給用戶提供了加密文件系統(tǒng)，給用戶在一定程度上提供對個人隱私的保護。但當(dāng)發(fā)生意外情況，比如口令丟失、系統(tǒng)崩潰、磁盤損壞等，加密文件將無法打開。本文在簡要分析加密原理的基礎(chǔ)上，對不同情形下加密文件的恢復(fù)方法進行了初步研究。

1 加密原理

在Windows操作系統(tǒng)提供的加密文件系統(tǒng)中，當(dāng)用戶生成加密文件時，生成一個既用于加密文件，又用于解密文件的對稱密鑰，加密文件系統(tǒng)使用對稱密鑰加密文件中的數(shù)據(jù)。然后使用公開密鑰加密對稱密鑰，加密文件系統(tǒng)將加密文件頭和加密數(shù)據(jù)組合得到加密文件。為保證密鑰的安全性，用主密鑰加密私鑰，再用用戶密碼加密主密鑰。

加密文件系統(tǒng)使用對稱密鑰和非對稱密鑰技術(shù)相結(jié)合的方法來提供文件的保護，對稱密鑰用于加密文件，非對稱密鑰中的公鑰用于加密對稱密鑰。加密文件系統(tǒng)對文件的加密發(fā)生在文件系統(tǒng)層而不是應(yīng)用層，因此，其加密和解密過程對加密用戶和應(yīng)用程序是透明的。用戶在使用加密文件時，感覺與普通文件一樣。需要注意的是，加密文件系統(tǒng)只能對存儲在NTFS磁盤格式分區(qū)的文件進行加解密，而且家庭版、簡化版Windows系統(tǒng)是不支持的。

加密操作：在文件屬性的“高級”屬性對話框中勾選上“加密內(nèi)容以便保護數(shù)據(jù)”完成加密，windows默認(rèn)設(shè)置下加密文件是彩色顯示的。加密文件在未設(shè)置故障恢復(fù)代理的情況下，其他用戶是無法打開、移動的。

解密操作：打開文件屬性對話框，選擇“高級”，打開高級屬性對話框，取消其中的“加密內(nèi)容以便保護數(shù)據(jù)”勾選，即可完成解密。也可以將加密文件剪切到FAT32分區(qū)中完成解密。

2 解密方法

加密文件系統(tǒng)解密的關(guān)鍵在于加密用戶的系統(tǒng)密碼或者加密文件的私鑰、用戶配置。

2.1 解密其他用戶加密文件

Windows提供了故障恢復(fù)代理來對加密文件系統(tǒng)的加密文件進行解密， 指定為故障恢復(fù)代理的用戶可以對其他用戶的加密文件進行解密。但如果在設(shè)置恢復(fù)代理之前就加密過數(shù)據(jù)，那么這些數(shù)據(jù)恢復(fù)代理仍然無法打開。首先用管理員用戶登錄操作系統(tǒng)，在“開始”菜單中“運行”框內(nèi)輸入“cmd”并執(zhí)行，進入命令提示符窗口，輸入“cipher/r：d：＼admin”后回車，在D：＼目錄下創(chuàng)建admin.cer、admin.pfx兩個文件；雙擊admin.pfx文件完成證書的導(dǎo)入；最后在組策略中設(shè)置恢復(fù)代理：在“運行”框內(nèi)輸入“gpedit.msc”并執(zhí)行，進入組策略編輯器，在“計算機配置→Windows設(shè)置→安全設(shè)置→公鑰策略→正在加密文件系統(tǒng)”中，選擇“添加數(shù)據(jù)恢復(fù)代理”。此后，這臺計算機其他用戶創(chuàng)建的加密文件，管理員用戶都可以解密。

2.2 破解本機其他用戶加密文件

按照Windows設(shè)計初衷，用戶是無法復(fù)制其他用戶的加密文件的， 但是在WindowsXP 32位操作系統(tǒng)下，借助工具“冰刃”可以將同一系統(tǒng)下其他用戶的加密文件復(fù)制，在完成復(fù)制操作的同時對原加密文件進行解密。

2.3 暴力破解本機其他用戶密碼

在無法使用“冰刃”工具時可以通過暴力破解本機其他用戶密碼來實現(xiàn)解密，借助強大的ophcrack結(jié)合相應(yīng)的彩虹表可以很大概率破解計算機上所有用戶的密碼。如果用戶密碼不是很復(fù)雜成功率很高，獲得其他用戶的密碼后就可以登錄其賬戶打開加密文件了。

2.4 使用備份的私鑰證書

用戶對文件進行加密后，應(yīng)當(dāng)立即導(dǎo)出自己的私鑰證書，當(dāng)忘記密碼或系統(tǒng)重裝后，重新安裝私鑰證書就可以打開加密文件。

2.5 解密已刪除用戶的加密文件

當(dāng)用戶被刪除后，如果配置文件未被刪除，且知道被刪用戶的系統(tǒng)登錄密碼，就可以借助工具實現(xiàn)文件解密。首先用查找各個用戶配置文件中存儲的主密鑰、私鑰，利用用戶的系統(tǒng)登錄密碼來解密主密鑰，用主密鑰解密私鑰，用私鑰解密對稱密鑰，用對稱密鑰解密加密文件數(shù)據(jù)。具體操作時，首先掃描密鑰，可掃描指定盤符或全盤掃描，掃描完成后得到存儲在本機的所有主密鑰、私鑰等；然后添加用戶密碼，輸入被刪除用戶的登錄密碼，掃描加密文件所在的磁盤分區(qū)；最后選擇需要解密的文件，指定存放位置。

2.6 重構(gòu)已刪除用戶的配置文件

當(dāng)系統(tǒng)用戶及其配置文件都被刪除或重裝系統(tǒng)時，原先的加密文件將無法打開。在記得原先用戶設(shè)置密碼的基礎(chǔ)上，通過重構(gòu)配置文件可以實現(xiàn)解密。首先恢復(fù)原來用戶的配置文件，然后創(chuàng)建一個與丟失用戶相同的用戶名，設(shè)置相同的密碼、SID號。SID是標(biāo)識用戶、組和計算機賬戶的唯一的號碼，在第一次創(chuàng)建賬戶時系統(tǒng)將給它發(fā)一個唯一的SID，Windows系統(tǒng)正是通過SID驗證用戶，因此如果SID號不同，即使創(chuàng)建了相同用戶名、密碼的賬戶，仍然無法打開原先加密文件。重啟計算機創(chuàng)建與丟失賬戶相同用戶名、密碼的賬戶。用新創(chuàng)建的賬戶登錄系統(tǒng)，加密任意一個文件后注銷（加密文件后才產(chǎn)生密鑰），使用其他管理員賬戶登錄系統(tǒng)，將第一步恢復(fù)出來的配置文件替換新創(chuàng)建用戶的配置文件。最后重啟計算機使用新創(chuàng)建用戶登錄系統(tǒng)，就可以解密原先加密文件，因為Windows誤認(rèn)為這個新建用戶是原來的用戶。

Windows特有的加密文件系統(tǒng)，能夠在一定程度上實現(xiàn)對數(shù)據(jù)的加密，阻止未授權(quán)用戶訪問數(shù)據(jù)，但也存在許多漏洞。本文介紹的一些解密方法和技巧對系統(tǒng)數(shù)據(jù)恢復(fù)有一定的幫助，但最可靠的操作還是用戶自己及時備份個人證書，以保證個人的加密文件不會無法打開。