Windows系統下EFS加密解密原理分析

EFS加密是windows系統自帶的加密方式，一個系統使用者對檔案加密後，只有以該使用者的身份登陸才能讀取該檔案。EFS加密的檔案和資料夾名字顏色是綠色，或者在該檔案或資料夾的高階屬性是加密屬性。這樣做在很大程度尚提高了資料的安全性，但是如果秘鑰檔案丟失或者重灌系統就會導致加過密的檔案不能開啟，今天的教程主要介紹的就是如果電腦使用ESF加密後卻因為其他原因導致無法開啟檔案，我們應該怎麼解密。

EFS加密原理介紹

要想解密，我們首先要了解是怎麼加的密，下面介紹EFS加密原理。

當我們使用EFS對一個NTFS檔案進行加密時，Windows系統會生成一個偽隨機數FEK（也就是檔案加密的鑰匙），用這個FEK對檔案進行加密同時將檔案的原位進行覆寫，隨後系統利用公鑰再進行一次對FEK的加密，加密後的FEK儲存在加密檔案的EFS屬性中。

使用者訪問被加密的檔案時，系統是利用私鑰先解密FEK，再使用FEK解密檔案，這裡我們所說的公鑰和私鑰統稱為秘鑰，如果使用者登入到了域環境中使用，那麼決定秘鑰生成的是域控制器，如果使用者沒有登入域環境，那麼秘鑰的生成依賴於本地機器。

通常情況下要解密EFS加密的檔案需要依賴於使用者私鑰，私鑰儲存在Windows分割槽的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID%路徑下，這個SID是一個安全的識別符號，用來表示賬號唯一特徵，在賬號建立時由Windows系統分配。Windows系統為保護私鑰還會對私鑰再進行一次加密，稱為主金鑰，主金鑰位於Windows分割槽的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%，然後再用使用者密碼生成的金鑰對主金鑰進行加密。

簡單對上述這一加密過程進行歸納就形成了“使用者密碼－>主金鑰－>私鑰－>FEK－>EFS加密檔案”的加密鏈。如果想要對EFS進行解密，我們需要得到的資訊包括使用者密碼、主金鑰、私鑰。

EFS無秘鑰情況下解密思路

1. 檢視現有系統佔用空間情況，查詢或重組加密FEK的私鑰、主金鑰、

2. 檢視現有mft檔案目錄的佔用空間，根據使用者密碼進行校驗匹配，解密使用者檔案，

3. 對解密出來的檔案進行校驗和邏輯分析，提取所需資料即可。

4. 如果使用EFS對檔案進行了加密，應該及時將秘鑰進行備份並妥善保管。

5. 如果EFS秘鑰檔案丟失應停止繼續使用計算機，降低秘鑰被覆蓋的可能。