分析針對EFS加密檔案無法開啟的情況資料恢復的解決方式

（一）故障型別： EFS 加密檔案無法開啟

（二）典型特徵：

1. 重灌系統後以前加密的檔案無法開啟

2. 金鑰檔案丟失導致加密檔案無法開啟

 

（三）損壞程度星級評價： ★★★★

［故障原理及恢復思路］

在使用 EFS 加密一個 NTFS 檔案時，系統首先會生成一個偽隨機數 FEK (File Encryption Key ，檔案加金鑰匙 ) ，然後用 FEK 加密資料並對檔案進行原位覆寫。隨後系統利用 使用者 的公鑰加密 FEK ，並把加密後的 FEK 儲存在加密檔案的 $EFS 屬性中。

 

而在訪問被加密的檔案時，系統首先利用當前使用者的私鑰解密 FEK ，然後利用 FEK 解密出檔案。在首次使用 EFS 時，如果使用者還沒有公鑰 / 私鑰 時 （統稱為金鑰），則會首先生成金鑰，然後加密資料。如果 使用者 登入到了域環境中，金鑰的生成依賴於域控制器，否則它就依賴於本地機器。

 

使用者私鑰是解密 EFS 檔案的關鍵，私鑰儲存於 Windows 分割槽的 Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% （使用者的 SID 為安全識別符號，相當於使用者的身份證號碼，當建立一個帳號時，系統為其分配一個唯一的 SID 編號）。

 

為了保護私鑰， Windows 用主金鑰對私鑰進行加密，主金鑰位於 Windows 分割槽的 Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID% ，然後再用使用者密碼生成的金鑰對主金鑰進行加密。

 

這樣就形成了 “ 使用者密碼－ > 主金鑰－ > 私鑰－ >FEK － >EFS 加密檔案 ” 加密鏈。所以如果想完整地獲得 EFS 加密資料，那麼必須得到使用者密碼、主金鑰和私鑰。

 

（ 四 ）恢復流程

1. 檢測流程：

（ 1 ）檢視現有系統佔用空間；

（ 2 ）檢視現在有 mft 檔案目錄數佔用空間。         

2. 實施流程：

（ 1 ）查詢或重組加密 FEK 的私鑰 ;

（ 2 ）查詢可重組加密私鑰的主金鑰；

（ 3 ）根據使用者提拱的使用者密碼進行校驗匹配，解密使用者檔案；

（ 4 ）對解密出來的檔案進行邏輯分析和校驗，遷移出使用者所需資料。

3. 驗收流程：                

（ 1 ）對已遷移出來的所有資料做屬性統計，從檔案數量

和容量等方面確保使用者所需資料已全部遷移成功；

（ 2 ）對已遷移出來的所有資料做完整性驗證，確保

檔案在目錄結構及底層邏輯等方面正確無誤；

（ 3 ）對使用者指定的關鍵資料檔案進行針對性校驗，確保使用者關

鍵資料成功恢復。

（ 五 ）恢復的可靠性分析及時間預估：

   在大多數案例中此類故障主要是重灌系統導致金鑰丟失造成的，由於重灌系統將寫入大量檔案到系統分割槽，金鑰被覆蓋的機率相對較高，這也是導致此類故障恢復成功率較低的重要原因，一般此類故障成功率在 50% 左右，通常所需時間為 1-3 個工作日。

 

 

［小貼士］

（一）透過 EFS 加密檔案後應該及時備份金鑰並妥善儲存；

（二）出現此類故障後應該立刻停止繼續使用計算機，以降低金鑰被覆蓋的機率。