数据恢复

efs 加密数据恢复,文件夹变绿恢复

efs 加密数据恢复,文件夹变绿恢复

在使用EFS加密一个NTFS文件时,系统首先会生成一个伪随机数FEK (File Encryption Key,文件加密钥匙),然后用FEK加密数据并对文件进行原位覆写。随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在加密文件的$EFS属性中。

而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥时(统称为密钥),则会首先生成密钥,然后加密数据。如果用户登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。

用户私钥是解密EFS文件的关键,私钥保存于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% (用户的SID为安全标识符,相当于用户的身份证号码,当创建一个帐号时,系统为其分配一个唯一的SID编号)。

为了保护私钥,Windows用主密钥对私钥进行加密,主密钥位于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%,然后再用用户密码生成的密钥对主密钥进行加密。

这样就形成了“用户密码->主密钥->私钥->FEK->EFS加密文件”加密链。所以如果想完整地获得EFS加密数据,那么必须得到用户密码、主密钥和私钥。

(五)恢复流程

1.检测流程:

(1)查看现有系统占用空间;

(2)查看现在有mft文件目录数占用空间。                       

2.实施流程:

(1)查找或重组加密FEK的私钥;

(2)查找可重组加密私钥的主密钥;

(3)根据用户提拱的用户密码进行校验匹配,解密用户文件;

(4)对解密出来的文件进行逻辑分析和校验,迁移出用户所需数据。

相关文章