谁在火维游衍

我们的festa perfect，末末了的结束于本月第5次聚餐。。。

环境: 加密文件刻盘，系统重装后无法读取。

方案1: 破解EFS (缺点-条件苛刻兼听天由命)
方案2: 数据恢复(缺点-听天由命兼不支持中文文件名)

1.
EFS加密原理
大家知道，EFS加密实际上综合了对称加密和不对称加密：
(1) 随机生成一个文件加密密钥(叫做FEK)，用来加密和解密文件。
(2) 这个FEK会被当前帐户的公钥进行加密，加密后的FEK副本保存在文件$EFS属性的DDF字段里。
(3) 要想解密文件，首先必须用当前用户的私钥去解密FEK，然后用FEK去解密文件。
看到这里，似乎EFS的脉络已经很清晰，其实不然，这样还不足于确保EFS的安全性。系统还会对EFS添加两层保护措施：
(1) Windows会用64字节的主密钥(Master Key)对私钥进行加密，加密后的私钥保存在以下文件夹：
%UserProfile%\Application Data\Microsoft\Crypto\RSA\SID
提示 Windows系统里的各种私有密钥，都用相应的主密钥进行加密。Windows Vista的BitLocker加密，也用其主密钥对FVEK(全卷加密密钥)进行加密。
(2) 为了保护主密钥，系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来)，加密后的主密钥保存在以下文件夹：
%UserProfile%\Application Data\Microsoft\Protect\SID
整个EFS加密的密钥架构如图1所示。
图1
提示 EFS密钥的结构部分，参考自《Windows Internals 4th》的第12章。
回到“任务描述”部分所述的两个条件，现在我们应该明白原因了：
(1) 必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。
提示 难怪Windows XP和2000不同，管理员重设帐户密码，也不能解密EFS文件。
(2) 该被删帐户的配置文件必须存在：加密后的私钥和主密钥(还包括证书和公钥)，都保存在配置文件里，所以配置文件万万不可丢失，否则就会彻底“鬼子不能进村”。重装系统后，原来的配置文件肯定被删，这时候当然不可能恢复EFS文件。
可能有用户会想，只需新建一个同名的用户帐户，然后把原来配置文件复制给新帐户，不就可以解密EFS文件了？原因在于帐户的SID，因为新建用户的SID不可能和老帐户一样，所以常规方法是不可能奏效的。我们必须另辟蹊径，让系统再造一个完全一样的SID！
恢复步骤
为了方便描述，这里假设被删帐户的用户名为Admin，Windows安装在C盘。
0．计算机SID重设
如果已经重装系统，“声明”部分提到的那篇文章里提到，如果还记得原来帐户的密码，并且配置文件没有被删除的话，还有希望。这时候可以借助sysinternals的NEWSID工具把系统的计算机SID重设为原来的值，再用前面描述的方法构造所需的RID，这样就可以获得所需的帐户SID。剩余步骤完全一样。
1．再造SID
注意 本方法取自“声明”部分提到的那篇文章。
首先确认被删帐户的SID，这里可以进入以下文件夹：
C:\Documents and Settings\Admin\Application Data\Microsoft\Crypto\RSA
在其下应该有一个以该被删帐户的SID为名的文件夹，例如是S-1-5-21-4662660629-873921405-788003330-1004(RID为1004)
现在我们要设法让新建帐户同样具有1004的RID，这样就能达到目的。
在Windows中，下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项的F键值所确定的。F键值是二进制类型的数据，在偏移量0048处的四个字节，定义下一个帐户的RID。那么也就是说，只需要修改0048处的四个字节，就能达到目的(让新建帐户获得1004的RID)
确认好以后，别忘记把Admin帐户的配置文件转移到别的地方！
(1) 默认情况下，只有system帐户才有权限访问HKEY_LOCAL_MACHINE\SAM，这里在CMD命令提示符窗口，运行以下命令，以system帐户身份打开注册表编辑器：
pexec -i -d -s %windir%\regedit.exe
提示 可以在以下网站下载psexec：
http://www.sysinternals.com/Utilities/PsExec.html
(2) 定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项，双击打开右侧的F键值。
(3) 这里要说明一下，Windows是以十六进制、而且以反转形式保存下一个帐户的RID。什么意思呢？也就是说，如果是1004的RID，对应十六进制就是03EC，但是我们必须把它反转过来变成EC03，再扩展为4个字节，就是EC 03 00 00。
所以，我们应该把F键值的0048偏移量处，把其中四个字节改为“EC 03 00 00”，如图2所示。
图2
(4) 重要：别忘了重启计算机！
(5) 重启以后，新建一个同名帐户Admin，它的SID应该和以前是完全一样。如果不相信的话，可以借助GetSID或者PsGetSID等工具测试一下。
2．“破解”EFS
接下来的方法就非常简单了，用新建的Admin帐户身份登录系统，随便加密一个文件，然后注销，用管理员帐户登录系统，把原来保留的配置文件复制到C:\Documents and Settings\Admin文件夹下。
再用Admin帐户登录系统，现在可以解密原来的EFS文件了。

疑问:
恢复步骤中1，基于帐户被删除情况下可找到sid为名的文件夹，如果重装前并没有删除帐户则步骤无法进行。在XP中取得本机帐户sid有以下几种方法：1。在windows server 2003中使用“whoami /user“可以查看系统的SID。在windows xp下是没有whoami这个命令的，但windows xp是可以支持它的，因此可以从windows server 2003下将这个文件copy到XP的相同目录下。whoami.exe位于C:\windows\system32\下。把附件中的whoami.exe直接copy到此目录下。在windows XP下运行cmd并输入“whoami /user”。2。windows XP support tool工具集里有个Getsid的小工具。用法：getsid \\server1 account \\server2 account。来源：windows XP安装光盘下support\tools目录。或运行cmd命令，切换到SID工具所在的目录下，接着输入“sid local”命令，就列出本地系统所有的用户帐号及其帐号对应的SID，如本地系统的rtj帐号，从命令执行结果可以看出，它对应的SID项目为“S-1-5-21-436374069-813497703-682003330-1004”，其中最后一段数字“1004”转换成16进制就为“3ec”，与注册表中的该帐号的标识信息对应。3。注册表中找出sid信息，具体位置为“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users”，注意：要赋予用户有访问“SAM”项的权限，才能进行浏览。下面的十六进制项就是用来标识不同的用户帐号，以当前机器为例，用户Administrator的为“000001F4”，guest帐号为“000001F5”，其它的每一个十六进制项都对应一个用户帐号，此外，在Names项下保存着用户帐号名。
SID补充资料：小提示：用户帐号的安全标识符(SID) 永远都是唯一的，它是由计算机名、当前时间以及当前用户态线程的CPU耗费时间总和三个参数决定的。格式为：S-R-X-Y(1)-Y(2)-……-Y(N)，其中S表示该字符串是SID，R是SID的版本号， X是标志符的颁发机构 （identifier authority），Y表示一系列的子颁发机构，前面几项是标志域的，最后一个Y(N)标志着域内的用户帐户和组。
以上三种方法，在非当前帐户运行的系统中皆不可行，如果能数据恢复注册表则还有一丝希望，虽然这话讲得与天方夜谭无异。
恢复步骤中2，原配置文件的存在是破解必不可少的条件之一，文中给出的原因是加密后的私钥和主密钥(还包括证书和公钥)，都保存在配置文件里。但配置文件太多，就是恢复也必须所小范围恢复，而这个范围目前我不能确定。

2.
EasyRecovery Professional 能不按文件结构来恢复，但恢复出来很乱且好多坏了。
Stellar Phoenix NTFS居然能看到绿文件夹下面的东西，不过如果是文件加密就没办法看了。
下2.0版(2.1找不到破解版)，再下破解补丁，然后恢复，只是不支持中文文件名，恢复出来的是乱码。
数据恢复原理补充：按shift键的彻底删除，或者是清空回收站的删除时，其实文件也并未真正被删除，文件的结构信息仍然保留在硬盘上，计算机会做一个标记，表明这个文件被删除了，可以写入新的数据了。除非新的数据将之覆盖了，否则文件就可以被恢复出来的。EasyRecovery使用Ontrack公司复杂的模式识别技术找回分布在硬盘上不同地方的文件碎块，并根据统计信息对这些文件碎块进行重整。接着EasyRecovery在内存中建立一个虚拟的文件系统并列出所有的文件和目录。哪怕整个分区都不可见、或者硬盘上也只有非常少的分区维护信息，它仍然可以高质量地找回文件。能用EasyRecovery找回数据的前提就是硬盘中还保留有文件的信息和数据块。但在你删除文件、格式化硬盘等操作后，再在对应分区内写入大量新信息时，这些需要恢复的数据就很有可能被覆盖了！这时，无论如何都是找不回想要的数据了。所以，为了提高数据的修复率，就不要再对要修复的分区或硬盘进行新的读写操作，如果要修复的分区恰恰是系统启动分区，那就马上退出系统，用另外一个硬盘来启动系统。然后在运行EasyRecovery进行修复。

结论：各么四基本没希望了。。。

关于vida的考虑结果，有鉴于想不到什么明确的目标，很遗憾地发现我决定继续现在这样生活。。。

我可怜的BENQ JOYBOOK竟然被我蹂躏到磁盘1/3物理坏道，是它太脆弱还是我太暴力……

－一个作孽地每天用1G USB过活的人的疑惑