|
|
发表于 2011-7-12 11:37:58
|
显示全部楼层
EFS加密破解
EFS加密破解
1.创建新用户,在命令提示符下输入如下命令:
net user test "" /add
net localgroup administrators test /add
2. 备份证书和私钥
用户test账户登录系统 在命令提示符下输入如下命令:cipher /r:test
输入密码test,确认密码test,显示文件已成功创建,在当前用户的目录下创建了两个文件。test.cer为公开金钥证书,test.pfx包含了该代理人的私密金钥。
3.添加数据恢复代理
第一步:执行“开始→运行”,输入gpedit.msc,定位到“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下。
第二步:右键点击“正在加密文件系统”,选择“添加故障恢复代理”,按照向导添加“证书文件”,把刚才备份的证书test.cer导入进来。
4.破解EFS
第一步:找到test.pfx文件双击,出现的界面,连续点击两次“下一步”,输入刚才的密码test,再连续点击“下一步”
帐户密码忘记,无法打开该帐户的EFS加密文件。
1.原理:EFS加密是基于用户的,对于账户本身的访问是没有妨碍的,因些要访问其他账户加密的EFS文件,我们只要获取他的登录密码即可。
2.适用对象:系统中有多用户,账户密码设置比较简单的账户,并且账户没有被删除。
3.方法:工具破解帐户密码。
4、操作:
第一步:在系统中的某帐户下下载并安装Proactive System Password Recovery。
提示:这是一款账户密码查看软件,它使用词典猜解方法查看账户密码。为了方便使用可以到网上下载对应的汉化版,本文以汉化版为例。由于是破解密码软件,运行时杀毒软件可能会报警,选择“忽略”。
第二步:运行程序后,展开“Option(选项)→Gernal option(常规选项)”,在“chose a program interface language(选择程序语言)”下选择“chinese(中文)”,然后单击“Apply”切换到中文版。
第三步:展开“主菜单→恢复Hashes”,在右侧的窗口就可以看到当前系统各账户密码,使用相应的密码登录系统解密文件即可。
重做系统后,无法打开此前系统中EFS加密的文件。
1.原理:应用工具,绕过系统,直接从系统GHO镜像中扫描此前系统的加密文件,然后强行破解。
2.适用对象:加密后制作了GHO镜像(加密前制作的镜像没有密钥),并且知道加密时的账户密码。
3.方法:工具强行破解加密文件。
4.操作:
第一步:在新系统中下载并安装“Advanced EFS Data Recovery”(简称AEFSDR)。
第二步:使用Ghost Explorer打开镜像文件,然后单击“编辑→全选”,把镜像文件全部提取到任一空白分区。
第三步:启动AEFSDR激活扫描向导,扫描分区选择“c:\”,扫描并找到密钥后,程序会提示添加用户名和密码。用户名随意输入,密码则一定要输入原来加密文件时使用的账户密码。
第四步:单击Add(添加)按钮,程序开始扫描指定NTFS分区上的加密文件,找到文件后如图5,单击Next(下一步)按钮,程度提示选择一个保存加密文件的目录(如d:),AEFSDR就会把提取的加密文件保存在d:\AEFSDR_J_DECRYPTED目录下。
帐户被删除,此帐户EFS加密的文件无法打开。
1.原理:其实打开EFS加密的关键就在于密钥,密钥和账户一一对应,如果不慎删除账户我们就要再造一个和被删账户相同的SID,通过欺骗XP的方法打开加密文件。
2.适用对象:本机保存被删除账户的配置文件,而且能够记住原来账户密码,如果没有配置文件,请尝试使用数据恢复代理查找。
3.方法:欺骗系统创建帐户。
4.操作:
提示:假设现在有一个名为lw的账户加密了文件,但是这个账户已经被删除,现在需要打开lw账户加密的文件。
第一步:尝试打开C:\Documents and Settings\lw\Application Data\Microsoft\Crypto\RSA看看其中是否有类似S-1-5-21-1659004503-789336058-839522115-1003的文件夹(即被删除SID名的目录)如图7。如果没有该目录,我们就要使用恢复软件找回。比如使用PE启动系统后运行FinaData,单击“文件→打开”,选择C驱动器进行扫描,如呆找到被删目录C:\Documents and Settings\#lw就将它恢复到d:\。
第二步:打开d:\Documents and Settings\lw\Application Data\Microsoft\Crypto\RSA,可以看到其中名为S-1-5-21-1659004503-789336058-839522115-1003的目录,也就是说lw的SID就是S-1-5-21-1659004503-789336058-839522115-1003,它的RID是1003(RID是SID字符串中具体账户权限标识)。
第三步:现在只要在系统新建一个名为 lw的账户,然后把它的RID标识更改为1003即可。在Windows中,下一个新建账户所分配的RID是由注册表项的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases键值所确定的。运行注册表编辑器,依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases ,双击右侧的F值,选中0048处前四个字节,然后按退格键删除,接着输入F0 03 00 00。(操作前请先备份注册表)。
第四步:重启电脑新建一个名为lw的账户,用新建的lw账户登录系统,启动EFS随意加密任一文件然后注销(XP只有EFS加密后才会产生密钥)。
第五步:用XP系统里其他管理员账户登录系统,把前面提取出来的配置文件改名为lw,复制到C:\Docnments and Settings文件夹下替换同名文件,因为lw登录后无法替换正在使用的配置文件。
第六步:替换完成后重启,再次lw账户登录,就可以解密原来EFS加密文件了。因为XP已经把这个新建的lw账户“误认”为是原来的账户。
http://hi.baidu.com/softgo |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
【新手看老鸟闪】西数模块定义直观图
WD 28(PST)模块简要说明
电子产品结构与导热材料解决方案
硬盘坏道维修色块全去! 希捷F3去色块又一
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
发个西数固件11g
ST 2T监控硬盘不认别,怎么解决
可怜啊!希捷12代1T酷鱼ST31000524AS固件JC
主板设计中导热界面材料对降低接触热阻的影
西数机械故障,请大神相助