登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

破解Window XP的EFS加密  

2008-03-21 08:19:19|  分类: 桌面应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 EFS(Encrypting File System,加密档案系统)是Windows 2000/XP/Server 2003系统自带的文件加密技术,它可以帮助用户针对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。但有了EFS加密真的能够保证文件安全万无一失吗?

  一、EFS文件加密测试

  1.部署加密环境:

  操作系统:Windows XP

  文件系统:NTFS

  系统账户:lw

  加密文件:test.txt

  2.EFS加密操作:

  第一步:以lw账户登录Windows XP系统,在D盘上建立一个文件名为test.txt的文件,里面写入一些信息。

  第二步:右键点击文件选择“属性”,点击“高级”按钮,在打开的“高级属性”面板的“压缩加密属性”下勾选“加密内容以便保护数据”选项,点击“确定”完成。被加密的文件文件名变成绿色。(图1)

  3.加密效果:

  注销lw,用administrator登录系统,双击text.txt,弹出一个警告框,无法打开该文件。(图2)

  4.加密授权:

  如果在某个用户下用EFS加密了几个用户共同的文件,那其他的用户如何能够打开呢?解决方法如下(以test.txt为例):

  方法一:(针对授权用户比较少的情况)

  右键点击test.txt文件,依次选择“属性→高级→详细信息”,点击“添加”按钮,可以添加其他用户,让该用户也可以打开此EFS加密文件。(图3)

  方法二:(适用于多用户授权)

  工具:“策略代理”(即数据恢复代理人DRA)

  操作:

  第一步:执行“开始→运行”,输入gpedit.msc,定位到“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下。

  第二步:右键点击“正在加密文件系统”,选择“添加故障恢复代理”,按照向导添加“证书文件”(cer文件)。(前提是你必须导出证书。)(图4)

  二、EFS加密破解

  1.准备工作

  创建新用户,在命令提示符下输入如下命令:

  net user test "" /add

  net localgroup administrators test /add

  2. 备份证书和私钥

  用户test账户登录系统

  在命令提示符下输入如下命令:

  cipher /r:test (图5)

  输入密码test,确认密码test,显示文件已成功创建,在当前用户的目录下创建了两个文件。test.cer为公开金钥证书,test.pfx包含了该代理人的私密金钥。(图6)

  3.添加数据恢复代理

  第一步:执行“开始→运行”,输入gpedit.msc,定位到“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下。

  第二步:右键点击“正在加密文件系统”,选择“添加故障恢复代理”,按照向导添加“证书文件”,把刚才备份的证书test.cer导入进来。(图7)

  4.破解EFS

  第一步:找到test.pfx文件双击,出现图8的界面,连续点击两次“下一步”,输入刚才的密码test,再连续点击“下一步”

  完成。(图8)

  第二步:注销并再次登录test,最后你双击就可以打开在lw用户下进行EFS的test.txt文件了。(图9)

  5.应用实例

  上面的方法用在什么样的环境下呢?假设你的机器是台服务器,开了若干帐号,你自己的帐号为administrator,为了方便大家远程登录,又建立了若干个administrators权限的用户,这样如果你以administrator帐号登录系统,并对某个文件进行了加密,那么其他用户完全可以通过上述方法对你的加密文件进行破解。原理就是其他用户把自己设为DRAT了,他便可以读取任何用户的EFS加密文件了。

  三、防范措施

  在对test.txt文件进行EFS加密后,设置权限来限制其他用户读取,这样只有你自己可以访问这个文件,上述方法就失效了。

  设置方法如下:

  我们右击test.txt文件,依次选择“属性”→“安全”→“高级”,在打开的面板中将“从父项继承那些可以应用到子对象的权限项目”的勾去掉,然后依次点“删除”→“确定”→“是”,这样便会出现图10的界面,在这里我们只添加自己的帐号,其他帐号一律不加,这样便完成了对权限的设置,加密文件才能算真正的加密了。(图10)

  评论这张
 
阅读(2501)| 评论(1)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018