【原创】EFS真的安全吗？记EFS破解软件Advanced EFS Date Recovery

xwjrain

从WINDOWS 2000开始（WINDOWS NT的NTFS是4.0版本的），WINDOWS系列开始支持新的磁盘格式NTFS，在问到它的优点时，支持文档加密是必提的一个重点，而这个功能也十分好用，加密之后只有本人可以浏览，并且感觉不到解密的过程，可以说实用性非常高，配合NTFS对文件／文件夹权限的分配，很好的解决了共享使用计算机时，个人文档的安全保密问题。
但是就像有黑就有白，有矛就有盾一样，有加密就必定有解密，这次要介绍的Advanced EFS Date Recovery就是这样一个号称可以破解NTFS的EFS加密的软件，那么它是不是象宣称的那样强呢？接下来做一个实验，硬件系统为IBM的A31笔记本，软件系统为WINDOWS XP，为了方便重装，使用VMWare 5.0，虚拟安装WINDOWS XP系统，所有的实验都是在这个虚拟的WINDOWS XP下进行的。
好了，赶快开始吧：

首先描述一下实验的过程：
虚拟WINDOWS XP系统的用户：
用户名             权限
Jerry               管理员
Test Admin      管理员
Test Power      Power User
Test User         User

系统分有三个硬盘，C、D和E，都是NTFS格式，先由Jerry在D盘下新建一个Test文件夹，文件夹下面一共放了四个文件：
图片1

[ Last edited by xwjrain on 2005-3-20 at 00:47 ]

xwjrain

然后右键单击test目录，属性→高级→加密→确定，至此，test文档应该只能由用户Jerry才能打开了。
那么究竟是不是这样呢？我们继续，注销后用Test Admin用户登陆，登陆后打开D盘，我们发现Test目录呈绿色，表示经过加密了，双击打开一个文件，显示如下画面
图片2

[ Last edited by xwjrain on 2005-3-20 at 00:48 ]

xwjrain

看样子真的不能打开了，下面请出Advanced EFS Date Recovery，看它怎么解决这个问题
运行EFS Date Recovery，首先单击Scan for keys，选择C盘和D盘
图片3

[ Last edited by xwjrain on 2005-3-20 at 00:48 ]

xwjrain

Start Scan之后，Advanced EFS Date Recovery会很快找到本机上所有的证书
图片4

[ Last edited by xwjrain on 2005-3-20 at 00:48 ]

xwjrain

看样子Advanced EFS Date Recovery用了取巧的办法，只是找到现有的证书，并用它来解密，那么是不是能成功解密呢，我们选Encrypted files选项页，选scan for Encrypted files，选择Test文件夹所在的D盘，很快就找到了，绿色表示可以解密
图片5

[ Last edited by xwjrain on 2005-3-20 at 00:49 ]

xwjrain

单击Decrypt，选一个存放地点，OK，我们来看看效果：
可以看到文件都被成功解密了，只是因为我使用的是未注册版本，所以只解密了小于512字节的部分，正式版应该可以完全解密的，另外，软件对中文文件名的也能很好的处理，Test Admin解密成功！
图片6

[ Last edited by xwjrain on 2005-3-20 at 00:59 ]

xwjrain

我们接着注销，用Test Power用户登陆：
直接打开test文件夹下的文件当然还是被拒绝，那么用Advanced EFS Date Recovery呢？这次我们遇到了一个问题，Advanced EFS Date Recovery提示一定要用管理员账户才可以，晕
图片7

xwjrain

Test Power，失败
类似的，Test User和Guest也没有成功。

从上面的实验我们可以看到Advanced EFS Date Recovery先是找到系统的证书，然后利用证书来解密，这个不怎么实用，因为我们通常是重装了系统之后才悲哀的想起来没有备份证书的，所以，还是要试一下重装系统后Advanced EFS Date Recovery还有没有效。

重装系统之前，先用ghost8.0将C盘复制到了E盘，然后格式化C盘重新安装XP。因为已经试验过只有管理员才可以实用Advanced EFS Date Recovery，所以重装系统后系统中只建立了administrator和Jerry两个账号。
用管理员账户登陆后，不能访问test下的文件，这个是毫无疑问的，扫描了C盘之后得到的新的证书也不能用于解密之前的文档
图片8

xwjrain

但是当选择查找所有硬盘上的证书的时候，Advanced EFS Date Recovery找到了Ghost到E盘的原系统的证书，并且顺利的解密了test文件夹的所有文件
图片9

xwjrain

接着用Jerry账户登陆，也得到了同样的结果。

结论：Advanced EFS Date Recovery是通过寻找硬盘上的证书来解密，一旦没有对应的证书存在，它也就无能为力了。但是一旦得到了包含C盘在内的整个硬盘，那么它就无所不能了。看来，丢失了笔记本之后再也不能因为使用了EFS加密而不担心资料外泄了>_<

本帖的意义：
第一：公司的电脑除了IT人员之外很少有人有管理员权限，在这样的使用环境下，EFS加密可以很方便的保证个人文档的安全性和保密性
第二：EFS加密没有想像中那么安全，就算是不知道你的登陆密码，只要对方拥有管理员权限或者得到了你的硬盘，那么一切将不再是秘密
第三：用了EFS加密而又不小心重装了系统的兄弟，可以试试看将原来的备份Ghost回来，如果这个备份是加密之后建立的，那就恭喜你了
第四：如果经常要重装系统而又粗枝大叶的，建议还是不要用EFS加密了，用NTFS的权限控制也能起到很好的效果，并且不小心重装了系统也可以很方便的取得控制权
第五：如果你一定要用，建议备份证书，并且建立恢复代理，这部分内容请看yansy版主的大作：深入剖析EFShttp://www.thinkpad.cn/forum/viewthread.php?tid=116781&fpage=1&highlight=EFS

[ Last edited by xwjrain on 2005-3-20 at 00:57 ]

yuanhen

写得不错，顶一个。

管理员权限很重要，没有管理员权限，再高明的方法也白搭。

nikon4500

不错，好文章，以前听说解不开的

jida

微软建议导出证书，保存到机器外：
Teach users to export their certificates and private keys to removable media and store the media securely when it is not in use. For the greatest possible security, the private key must be removed from the computer whenever the computer is not in use. This protects against attackers who physically obtain the computer and try to access the private key. When the encrypted files must be accessed, the private key can easily be imported from the removable media.
教导用户：当不使用EFS的资料的时候，导出他们的证书和私匙到移动的存储媒介上，并保存在安全的地方。
为确保最大的安全，当机器不使用时，私匙必须随时移出本机。这样可防止盗窃者得到私匙。
当需要使用加密文件时，可很容易的将私匙从移动的存储媒介导回。

微软的这个建议可能就是对付这个问题（破解软件）的。没办法的办法。

另外，Windows 2000中管理员就是默认的恢复代理，到了Windows XP，就不是了，这也是防止一旦攻击者得到管理员身份就可破解EFS的资料。对此微软作了明确地说明。

[ Last edited by jida on 2005-3-20 at 07:49 ]

fixcom

昏～白高兴了，前几天刚把系统重装了，重装了才发现证书丢了～～～～～～

jida

察看了www.elcomsoft.com（做Advanced EFS Data Recovery的）所有的密码破解产品，得出一个结论：
除了zip和rar压缩文件的密码外，其他保密方法都悬。
所以说要最好的保密，就把它打压缩包，选一个长长的密码，例如一句话，再加点#—%·（*！）^之类的字符，20位以上，这样在你的有生之年之内是不会有人能破解出来啦！

sgw888

可是非注册版，还是只能恢复一部分。唉。我以前，把DOCUMENTS AND SETTINGS剪切了一部分。不知道能不能找到证书。

hayate

说白了还是要证书才行，干嘛把证书留在电脑上？

xwjrain

早上起来一看原来加精啦，谢谢宁版！我的第一个精华贴哦！
本来这个软件是浏览网页的时候无意中看到的，想起了以前看到有关于EFS加密后重装系统导致不能解密的讨论，于是就做了实验，也算是给大家一个思路
如果真的可以暴力解密，估计下一代WINDOWS出来又要换磁盘格式了，呵呵

wangzipsuper

看到一篇好文章，注意证书保管

sunday - T50-64

呵呵，有点麻烦了。**\**\

在公司局域网中，我的机器即使在本地安全策略中设置了拒绝管理员从网络访问，**\**\**\用这个软件好像一样也能突破吧！

xwjrain

在公司局域网中。原则上用户是挡不住管理员的，本机管理员密码和域用户密码，域管理员密码，无论哪个都可以直接或间接的登陆你的电脑，只要他能访问到你的C盘，那么他就可以取得你的证书来解密，所以在公司电脑上还是不要存放过于私人性质的东西，如果实在要放，象楼上有兄弟说的那样，用winrar打包，加个超长超拗口的句子来加密

edwinkoo

用PGP加密, 比这个劳杂子强多了...

Laputa

QUOTE:

Originally posted by jida at 2005-3-20 09:20:
察看了www.elcomsoft.com（做Advanced EFS Data Recovery的）所有的密码破解产品，得出一个结论：
除了zip和rar压缩文件的密码外，其他保密方法都悬。
所以说要最好的保密，就把它打压缩包，选一个长 ...

今天看到的最大的笑话

Amilon

如图，系统是homeEdition。都是ntfs的，加密选项是灰色的。

xwjrain

QUOTE:

Originally posted by Laputa at 2005-3-20 14:47:


今天看到的最大的笑话

这个要情况了，纯粹从破解角度讲，zip、rar可以暴力破解而EFS不可以，所以EFS更加安全；但是从实际使用中讲，EFS只需管理员账户即刻瞬间破解，但是一个拥有20位密码的RAR文件包的所需要的破解时间是不可接受的，从这个角度讲，加密后的RAR文件包更安全，Laputa兄以为如何？

xwjrain

QUOTE:

Originally posted by Amilon at 2005-3-20 15:55:
如图，系统是homeEdition。都是ntfs的，加密选项是灰色的。

home版本不支持EFS，只有专业版才有

Drifter

同意作者的见解并支持作者的态度. 对于只会笑话别人的人嘛, 无语.

一个是理论强度, 一个是实用强度. 对于用户来说, 实用强度比理论强度更重要. 对于研究者来说, 可能看法不同. 但不管是什么理论, 最终都是要拿来用的.

QUOTE:

Originally posted by xwjrain at 2005-3-20 18:58:


这个要情况了，纯粹从破解角度讲，zip、rar可以暴力破解而EFS不可以，所以EFS更加安全；但是从实际使用中讲，EFS只需管理员账户即刻瞬间破解，但是一个拥有20位密码的RAR文件包的所需要的破解时间是不可接受的 ...

Drifter

加一句, 对于ZIP和RAR来说, 最好用的密码是中文. 又好记, 又大大地扩大了密码空间. 一段15-20个中文字的密码, 记忆很容易, 但对于暴力破解来说就是恶梦了. 有很多软件根本不会去搜索这个空间的.

yansy

QUOTE:

Originally posted by xwjrain at 2005-3-20 18:58:


这个要情况了，纯粹从破解角度讲，zip、rar可以暴力破解而EFS不可以，所以EFS更加安全；但是从实际使用中讲，EFS只需管理员账户即刻瞬间破解，但是一个拥有20位密码的RAR文件包的所需要的破解时间是不可接受的 ...

错。
数据加密的本质是要保证数据的安全。
保证数据安全包含两方面的内容，一是数据不被非法访问，二是要保证数据被合法访问，两者缺一不可。
如果单位的员工辞职，而他的机器上数据被NTFS加密，可以同时保证上述两个方面的实现；如果用压缩软件加密，保证不了数据被合法访问。
所以NTFS更安全。

xwjrain

QUOTE:

Originally posted by yansy at 2005-3-20 20:39:


错。
数据加密的本质是要保证数据的安全。
保证数据安全包含两方面的内容，一是数据不被非法访问，二是要保证数据被合法访问，两者缺一不可。
如果单位的员工辞职，而他的机器上数据被NTFS加密，可以同时保 ...

站在公司的角度的确是这样，即可以在员工在职时保证其资料的个人性，也可以防止因员工离职而造成公司资料的损失，这个是我原来没有想到的，看样子微软开发EFS是有其道理的

但是站在用户的立场上，一个包含长密码的RAR文件包在对抗非法访问时相对更安全这一点也没错，因为管理员可以不经过用户同意而轻易访问用户使用EFS加密的数据，而一个包含长密码的RAR文件包会让任何人意兴阑珊。当然，这个“相对安全”来之不易，用户需要付出每次访问输入一个长密码的代价**\