EFS的加密方法和解密必知

2024年1月31日发(作者：)

EFS的加密方法和解密必知

经常看到对文件和文件夹加密的文章，大多是安装各种软件来实现的，如果你的系统是WinXP/Win2003/2000，就没有必要如此兴师动众地加密了，既不需要你安装软件，也不需要繁琐的操作，因为Windows本身就集成了EFS(Encryption File System-EFS)加密功能，可以加密NTFS分区上的文件和文件夹！加密之后，就等于把你的文件和文件夹全部都锁进了保险柜，安全性当然不用担心啦，因为它采用了56位的数据加密标准，到目前为止还无人能破解的！

一、ESF加密文件或文件夹

为了提高文件的安全性，微软在WinXP/Win2003/2000中（注意Windows

XP家庭版不支持EFS加密文件系统），针对NTFS引入了EFS加密技术。EFS加密操作非常简单，对加密文件的用户也是透明的，文件加密之后，不必在使用前手动解密，只有加密者才能打开加密文件，其他用户登陆系统后，将无法打开加密文件。

1、ESF加密操作

例如要对NTFS分区上的test目录进行ESF加密，可以这样操作：在WinXP中，单击“开始”/程序/附件，点击打开“Windows

资源管理器”，点击“我的电脑”，打开NTFS分区，右击要加密的文件或文件夹（例如test目录）；然后单击“属性”，在“常规”选项卡上，单击“高级”按钮；在弹出的窗口中，勾选“加密内容以便保护数据”复选框(如图1)；点击“确定”退出。

图 1

如果加密的是文件夹，此时会弹出一个对话框（如图2），你可以根据需要，选择仅加密此文件夹、还是将此目录下的子文件夹和文件也一起加密；点击选择之后，点击“确定”按钮，最后再点击“应用”完成。

图 2

于是在默认情况下，你就会发现刚才EFS加密的文件(夹)，在资源管理器中显示的颜色会变为彩色（如图3），例如图3中的文件/文件夹名字的颜色，不是常见的黑色、而是绿色的，这表示它们已经被EFS加密了。

图 3

对文件的EFS加密方法，与上面介绍的类似。现在我们有了一个EFS加密过的目录（例如test），以后如果你要对某个文件或文件夹进行EFS加密，也可以把它们移到该目录中，这样就会被自动加密。

小提示：FAT分区上的文件和文件夹是不能被ESF加密的，另外，标记为“系统”属性的文件，位于Window系统目录中的文件也无法ESF加密。

2、及时备份密钥

ESF加密操作虽然简单，但是如果你重装了系统，以后即使利用原来的用户名和密码，也无法打开EFS加密文件(夹)，因此你应该及时备份密钥，这样以后即使重装系统，也能打开加密文件。

备份密钥方法：在WinXP中，点击菜单“开始”/运行，键入打开证书管理器，点击“证书→当前用户”下的“个人→证书”，只要以前做过加密操作，右边窗口就会有用户名同名的证书（如图4），假如有多份证书，选择“预期目的”为“加密文件系统”的；右击“证书”，在菜单中选择“所有任务→导出”，于是就会弹出一个“证书导出向导”窗口，在窗口中选取“导出私钥”，并按照向导的要求，输入密码保护导出的私钥，选择保

存证书的目录，最后证书（CER后缀的文件）和私钥（PFX后缀的文件）便成功导出。

图 4

以后对于这些备份密钥（证书和私钥），我们只要有一个文件，即可恢复加密数据。其他用户如果获得你的备份密钥，也能轻松解密你的加密文件，因此一定要保管好备份密钥。

二、取消EFS加密有技巧

如果你不想对某个文件或文件夹EFS加密了，可以这样取消：打开Windows资源管理器；右键单击加密文件或文件夹，单击“属性”；在“常规”选项卡上点击“高级”；在弹出的窗口中，清除“加密内容以便保护数据”复选框（如图5），最后按“确定”即可。

图 5

三、如何找回EFS加密文件？

当加密文件的系统账户出问题了，或者重装了系统之后，EFS加密文件就无法访问了，

许多朋友都遇到过这样的问题，网上到处都是类似的求助帖子，为此，你可以这样来破解：

1、以前备份有PFX私钥

假如你以前备份有PFX私钥文件，现在想打开加密文件绝对不成问题！找到备份的PFX私钥文件，鼠标右击该文件，在弹出的菜单中选择“安装PFX”，系统将弹出“证书导入向导”，键入当初导出证书时输入的密码，然后选择“根据证书类型，自动选择证书存储区”即可，完成后就可以访问EFS加密文件了。

2、以前备份有CER证书

假如你以前未备份PFX私钥文件、但是备份过CER证书，如果又重装了系统，就没有办法打开加密文件了，假如还没有重装系统，可以这样破解：

点击菜单“开始”/运行，键入打开证书管理器，点击“证书→当前用户”下的“个人”；然后右击鼠标，在弹出的菜单中选择“所有任务→导入”，在“证书导入向导”窗口中按提示操作，点“浏览”按钮，选择“个人”（如图6），把证书导入到“个人”存储区。

然后在左侧点击“个人”下的证书，右边窗口就会看见一个证书，右击该证书，选择菜单“所有任务→用相同密钥续订证书”（如图7），就可以访问EFS加密文件了。

图 6

图 7

结束语

有人说，EFS加密虽然牢不可破、简单好用，但是加密文件却经常打不开，这是由于你没有备份私钥文件造成的。如果你没有备份私钥，重装系统之后，EFS加密文件就会打不开。假如发生了这样的事情，对于Win2000系统，可以使用恢复代理来解密，即用Administrator这个用户登录系统，然后就能打开加密文件了；如果系统是WinXP，目前还没有办法打开加密文件，因为EFS加密现在还无人能破解，既找不到破解软件，也没有破解方法。因此最后还是要提醒你，加密之后一定要备份私钥！只要你备份了PFX私钥文件，EFS加密就不会出问题。

EFS应用实例

让我们看看如何给文件夹加密。右击选择要加密的文件夹，选择快捷菜单中的“属性”，选择“常规”标签中的最下方“属性” “高级”，在“压缩或加密属性”一栏中，把“加密内容以便保护数据”打上√（图2），点“确定”。回到文件属性点“应用”，弹出“确认属性更改”窗口，在“将该应用用于该文件夹、子文件夹和文件”打上“√”，点“确定”。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。要解开加密的文件夹，把“加密内容以便保护数据”前面的“√”去掉，点确定就可以了。

1.将EFS选项添加至快捷菜单

如果想将EFS选项添加至快捷菜单，请依次执行下列操作步骤：在“运行”对话框内输入regedit，在注册表编辑器内浏览至下列子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced，然后新建一个DWORD值EncryptionContextMenu，并将它的键值设为1。注意，为确保对注册表进行修改，应在自己的计算机上拥有管理员帐号。这样当用户右键单击某一存储于NTFS磁盘卷上的文件或文件夹时，加密或解密选项便会出现在随后弹出的快捷菜单上（图3），非常方便。

2.禁用EFS

如果你不喜欢EFS，可以彻底禁用它。只要在“运行”中输入Regedit并回车，打开注册表编辑器，依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionEFS，然后新建一个Dword值EfsConfiguration，并将其键值设为1，这样本机的EFS加密就被彻底禁用了。

3. 跳过不加密父文件夹下的某个子文件夹

在加密的过程中我们常常遇到这样的事情，我们需要加密某一个文件夹，而此文件夹下还有很多的子文件夹，这时候我们如果不想加密位于此文件夹下的某一个子文件夹该怎么办呢？很多的用户往往采取的方法是将不需要加密的子文件夹剪切出来，单独存放，然后再加密文件夹。可是这样一来却破坏了原来的目录结构，加密和保持原有的目录结构好象是鱼与熊掌不可兼得，怎么办？其实你大可不必这么辛苦，只需要在不需要加密的子文件夹下建立一个“”文件即可。具体地说就是在不需要加密的子文件夹下建立一个名为“”的文件，用记事本程序打开录入以下内容：

[encryption]

Disable=1

录入完毕保存并关闭该文件，以后要加密父文件夹的时候，当加密到该子文件夹就会遇到错误的信息，如图所示（图4），点“忽略”按钮就可以跳过对该子文件夹的加密，但其父文件夹的加密不会受到丝毫的影响。

4.在命令提示符下加密、解密文件

有些用户喜欢在命令提示符下工作，EFS也早为这些用户准备好了。用CIPHER命令即可轻松完成对文件和文件夹的加密、解密工作。其命令格式如下：

CIPHER [/E /D] 文件夹或文件名 [参数]

例如要给F盘根目录下的abcde文件夹加密就输入：“CIPHER /e f:abcde”，如图所示（图5），回车后即可完成对文件夹的加密。要给F盘根目录下的abcde文件夹解密则输入：“CIPHER /D f:abcde”，回车后即可完成对文件夹的解密。/E是加密参数，/D是解密参数，其它更多的参数和用法请在命令提示符后输入：“CIPHER /？”来查看。

EFS加密的破解

在EFS加密体系中，数据是靠FEK加密的，而FEK又会跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据。可见，用户的密钥在EFS加密中起了很大作用。

密钥又是怎么来的呢？在Windows 2000/XP中，每一个用户都有一个SID（Security Identifier，安全标识符）以区分各自的身份，每个人的SID都是不相同的，并且有唯一性。可以这样理解：把SID想象为人的指纹，虽然同名同姓甚至同时出生的人很多，但世界上任意两个人的指纹却完全不同。因此，这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户，因而用户的密钥也就绝不会相同。在第一次加密数据时，系统就会根据SID生成加密者（该用户）的密钥，并且会把公钥及私钥分开保存，供用户加密和解密数据使用。

许多人由此就认为使用EFS加密非常安全，可是现在网上有一款叫做Advanced EFS Data Recovery的软件就可以破解EFS加密！不过使用该软件有个前提，那就是硬盘上要保留有相应的密钥，而且该软件目前仅能破解经过Windows 2000加密的文件，对Windows XP的加密还无法破解，所以使用XP的朋友可以安心一段时间了。一段时间以后呢？我也不知道，我只知道世上没有不透风的墙。大家可以从网上下载该软件的试用版，试用版只能解密文件的前512字节。

现在，假设我们的Windows 2000安装在C盘，事先用Administrators组的账户Work加密了一个文本文件。注销该账户，用同属于Administrators组的另一个账户Luck登录，直接打开文件试试，看到“访问拒绝”的错误提示了吧？这说明经过EFS加密后的文件非授权用户的确无法访问。接下来运行Advanced EFS Data Recovery，在“EFS Related Files”标签下点击右侧的“Scan For keys”，然后指定在C盘中扫描密钥，图中显示为绿色的就是可用密钥（图6）。然后点击“Encrypted files”标签，再点击右侧的“Scan for encrypted

files”按钮，在D盘上搜索所有加密文件，会得到如图所示的结果（图7），其中的就是我们事先加密的文件，点击“Save files”按钮指定保存的位置即可。打开该文件看看，没有任何问题，该文件已经被解密了。

注意，如果你要解密的文件比较大的话，那就需要使用注册版，否则无法破解。

EFS文件系统解密方法

2007-03-31 05:58

EFS是Encrypting File System，加密文件系统的缩写，他可以被应用在windows

2000以上的操作系统且为NTFS5格式的分区上(windows xp home不支持).

EFS 只能对存储在磁盘上的数据进行加密,是一种安全的本地信息加密服务.EFS使用核心的的文件加密技术在NTFS卷上存储加密文件.

它可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑,硬盘等)

EFS是如何工作的

当一个用户使用EFS去加密文件时，必须存在一个公钥和一个私钥，如果用户没有，EFS服务自动产生一对。对于初级用户来说，即使他完全不懂加密，也能加密文件，可以对单个文件进行加密，也可以对一个文件夹进行加密，这样所有写入文件夹的文件将自动被加密。

一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中，EFS将进行以下几步：

第一步：NTFS首先在这个文件所在卷的卷信息目录下(这个目录隐藏在根目录下面)创建一个叫做的日志文件，当拷贝过程中发生错误时利用此文件进行恢复。

第二步：然后EFS调用CryptoAPI设备环境.设备环境使用Microsoft Base

Cryptographic Provider 1.0

产生密匙,当打开这个设备环境后,EFS产生FEK(File Encryption

Key,文件加密密匙).FEK的长度为128位（仅US和Canada），这个文件使用DESX加密算法进行加密。

第三步: 获取公有/私有密匙对;如果这个密匙还没有的话(当EFS第一次被调用时),EFS产生一对新的密匙.EFS使用1024位的RSA算法去加密FEK.

第四步：EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF),在这里存放FEK然后用公有密匙加密FEK.

第五步：如果系统设置了加密的代理,EFS同时会创建一个数据恢复块Data Recovery

Field(DRF),然后把使用恢复代理密匙加密过的FEK放在DRF.每定义一个恢复代理,EFS将会创建一个Data Recovery

Agent(DRA).Winxp没有恢复代理这个功能,所以没有这一步.，这个区域的目的是为了在用户解密文件的中可能解密文件不可用。这些用户叫做恢复代理，恢复代理在EDRP(Encryption

Data Recovery

Policy,加密数据恢复策略)中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP被使用。在任一种情况下，在一个加密发生时，EDRP必须存在（因此至少有一个恢复代理被定义）。DRF包含使用RSA加密的FEK和恢复代理的公钥。如果在EDRP列表中有多个恢复代理，FEK必须用每个恢复代理的公钥进行加密，因此，必须为个恢复代理创建一个DRF。

第六步：包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

第七步:

在加密文件所在的文件夹下将会创建一个叫做的临时文件.要加密的内容被拷贝到这个临时文件,然后原来的文件被加密后的数据覆盖.在默认的情况下,EFS使用128位的DESX算法加密文件数据,但是Windows还允许使用更强大的的168位的3DES算法加密文件,这是FIPS算法必须打开,因为在默认的情况下它是关闭的.

第八步：在第一步中创建的文本文件和第七步中产生的临时文件被删除。

加密过程图片可参考 /images/

文件被加密后,只有可以从DDF或是DRF中解密出FEK的用户才可以访问文件.这种机制和一般的安全机制不同并意

味着要想访问文件,除了要有访问这个文件的权力外还必须拥有被用户的公有密匙加密过的FEK.只有使用私有密匙解密文件的用户才可以访问文件.这样的话会有一个问题:就是一个可以访问文件的用户可把文件加密之后,文件真正的拥有者却不能访问文件.解决这个问题的办法:用户加密文件的时候只创建一个文件解密块Data

Decryption

Field(DDF),但是只后他可以增加附加用户到密匙队列.这种情况下,EFS简单地把FEK用想给其他用户访问权的用户的私有密匙加密.然后用这些用户的公有密匙加密FEK,新增加的DDF和第一个DDF放在一起(这些新增加的用户对文件只有访问的权力).

解密的过程和加密的过程是相反的,参考/images/

首先,系统检测用户是否具有被EFS使用的私有密匙.如果有的话,系统将会在读取EFS属性,同时在DDF对列中寻找当前用户的DDF.如果DDF找到的话,用户私有密匙将会在那里解密出FEK.使用解密出来的FEK,EFS去解密加密的文件数据.需要注意的是文件从来不会完全被加密,但是有时候会去加密一些特殊的扇区如果上层模块要求的话.

EFS组成

EFS由EFS服务、EFS驱动、EFS文件系统运行库（FSRTL）和Win32 API。EFS服务作为一个标准系统服务运行，它是Windows

2000安全子系统的一部分。它与CryptoAPI接口产生钥匙、DDF和DRF，EFS驱动就象是NTFS的一部分，它呼叫EFS服务请求钥匙，DDF和DRF作为需要被创建，一个EFS驱动的组成是

EFS

FSRTL,它定义了EFS驱动程序能作为NTFS的代表而执行的功能。

EFS和NTFS如何共存

EFS可以被认为除NTFS外的第二层防护，为访问一个被加密的文件，用户必须有访问到文件的NTFS权限。在相关NTFS权限的用户能看到文件夹中的文件，但不能打开文件除非有相应的解密钥匙。同样，一个用户有相应的钥匙但没有相应的NTFS权限也不能访问到文件。所以一个用户要能打开加密的文件，同时需要NTFS权限和解密钥匙。

然而，NTFS权限可能被大量的方法穿越，包括口令破解程序、用户在离开前没有退出系统或系统内部的NTFSDOS。在NT4.0下，游戏结束了――硬盘上所有的数据都可以访问了。在Windows

2000下，当一个文件用EFS加密后，一个未授权的用户，即使访问到磁盘上的文件，但也不能访问文件上数据，因为没有授权用户的私钥。

EFS 属性

当NTFS加密文件的时候,它首先会为文件设置加密标志,然后在存储DDF和DDR的地方为文件创建一个$EFS属性.这个属性的属性ID=0x100,它可以被加长,占有0.5k到若干k的大小,这个大小是由DDF和DRF的数量决定的.

紫色:EFS属性大小

天蓝色:电脑安全标识符和用户数字.它指定EFS存储证书的文件夹.为了得到文件

夹的名字,EFS会做一些转换.

5A56B378 1C365429 A851FF09 D040000 - 存储在$EFS中的数据.

78B3565A 2954361C 09FF15A8 000004D0 - 转换后的结果.

2025018970-693384732-167712168-1232 - 转换成十进制.

S-1-5-21-2025018970-693384732-167712168-1232 - 加上安全标识符前缀.

得到的文件夹就是:

%UserProfile%ApplicationDataMicrosoftCryptoRSAS-1-5-21-2025018970-693384732167712168-1232

粉红色:公有密匙特性

黄色:私有密匙全局唯一标识符(同时被当作容器名字).当EFS从CryptoAPI

provider中获取设备环境的时候使用这个名字.如果$EFS属性只有一个DDF,容器的名字可以从$efs中计算出来.但是当更多的用户加入这个文件的时候(就会有更多的DDF和DRF),私有密匙全局唯一标识符并不是保存所有的用户,其它的必须从基于公有密匙存储特性的证书中恢复.

红色:加密提供器的名字(Microsoft Base Cryptographic Provider v.1.0)

绿色:用户的名称,DDF和DRF的所有者.

蓝色:加密后的FEK.通常FEK是128位的,但是被1024位的RSA密匙加密后,长度变成1024位.