Pages

Tuesday, 26 February 2013

NTFS加密破解两例

为了防止个人信息未经授权被其他用户访问,有些朋友会采取NTFS分区访问权限加密的方式给自己的文件加把“锁”。随着时间的推移,用户可能会由于 某些原因增加/删除用户账号、重装系统……经过这些操作以后,将出现经NTFS加密的文件无法访问的情况。由此给用户造成了很大的损失。最近也有不少关于 重装系统后,NTFS加密文件夹无法打开的求助,在此通过两个破解实例,抛砖引玉,给大家一个指引。
提示:NTFS加密为账号证书加密,即使账号名相同,因为在系统并不认同为同一账号,因此两个账号证书是完全不一样的,因此当开启NTFS分区的加密功能时一定要记得导出证书备份到非NTFS分区或者未加密或未压缩NTFS分区
一、使用Advanced EFS Data Recovery进行破解NTFS加密文件
Advanced EFS Data Recovery下载地址 :http://down.51cto.com/data/24271
一、加密。
以A系统所在硬盘引导进入XP,在G区新建一个文件夹“新建文件夹3”,并将可执行文件、文本文件、word文档文件、JEPG图版文件各几个复制再其中,对文件夹及其下文件进行加密。
二、验证加密。
以B系统所在硬盘引导进入XP,在E区(两系统中盘符不同)找到“新建文件夹3”并打开,试点击其内的文本文件及可执行文件,提示“拒绝访问”或“没有合适权限访问这个目录”,无法打开加密文件。
三、破解。
破解EFS加密文件最有效当然是Advanced EFS Data Recovery了,不过未注册版本功能有所限制,在下注册了一套(Advanced EFS Data Recovery2.1,版本低了点)。
1、从系统菜单中运行Advanced EFS Data Recovery,进入Advanced EFS Data Recovery界面。
2、扫描查找keys,点击scan for keys按钮,在“select logical disk(s) to scan ”对话框中选中装有操作系统的磁盘分区,我的机了中操作系统装在C、H、I分区上,所以选中此三个分区,当然可以全部选上,为样时间会长些。
选好分区后点击Start Scan按钮。软件会自动在各分区中搜索key,有效的key会用绿色显示在列表中。不过只是破解加密文件的话不必理会它。
3、找出需要解密的文件。
使用file tree,找到加密文件所在的文件夹,在右侧点击文件,加入encrypted files列表中,也可以使用 Scan for encrypted files扫描找到已加密文件。encrypted files列表中绿色的文件表示可以破解,红的的不能破解 (无适合的key)
4、破解加密文件
在encrypted files列表选中需要解密的文件,选好后点击Decrypt按钮。在弹出的对话框 (select folder where decrypted files will be written)选择破解文件写入的路径,在这里选了“本 地磁盘N”。确定。系统会进行破解,其间显示保存已破解文件进度,破解完成后显示破解成功提示。
5、破解验证
破解文件存放在N:\AEFSDR_E_DECRYPTED下,文件数,大小与原文件夹下一样,只是文件名与原来不同,此时图片已能浏览,点击可执行文件 “新建文件糪ASP_A.EXE”能正确打开,将“新建文件糪青春的思索  人生” 重命名为“新建文件糪青春的思索  人生.doc”双击能打开,内容 不丢失。
6、破解文件的处理
因使用的工具为Advanced EFS Data Recovery英文版,对中文文件名支持不好,所以出现一些怪字符,需要一个一个改回去。如果使用E文或数字文件夹和文件名可以避免这种麻烦
二、使用GHOST备份被加密的分区,然后提取出所需要的文件。
采用这中方式破解需要硬盘上某个单一分区中有足够的空间保存加密文件所在分区的*.gho镜像。步骤如下:
首先我们需要用到Ghost,可以采用DOS下的ghost版本(ghost 6.0/7.0/8.0/8.2),也可以采用基于Windows下的Ghost版本(Ghost 2003/9.0、Ghost32 8.0),制作加密文件所在分区的*.gho镜像。

制作好 *.gho 镜像以后,我们还需要用到 Ghost Explorer 这个工具来读取做好的镜像文件并提取出我们需要挽救的数据。

这样我们就可以正常访问到被NTFS方式加密过的文件了