『杂项』取证之 EFS 加解密流程及解题方法

日期：2024-01-24

作者：Zero

介绍：取证知识之 EFS 加解密流程及解题方法。

1、前言

EFS（Encrypting File System，加密文件系统）是微软在自家文件系统NTFS 3.0版本中引入的新功能，支持文件及文件夹的透明加密，由于该功能在操作系统中默认不启用，所以在日常使用的过程中不会接触到，可能会有些陌生，笔者也亦是如此，本文即是学习了解过程的一个总结产物，希望对各位能有所帮助。

2、EFS 用法及安全性

EFS功能隐藏在文件及文件夹的属性面板常规选项卡的高级按钮中，默认是不开启的，如下图所示。

选中加密内容以保护数据选项并点击确定，文件图标右上角会多出一个锁的标记，表示该文件已处于文件加密系统的保护中。

文件加密之后，除了文件图标多了一把锁，我们对该文件的查看、编辑及复制等过程与往常没有任何区别，用户无法直观感知到加解密行为的存在。

此时我们可以将存有该文件的磁盘连接至另一台电脑中查看，这里为了方便使用PE系统来模拟这一行为。

进入PE系统，使用磁盘类软件查看该文件的原始内容，可以发现已经变成无法理解的内容了，不是前面的明文123456，如下图所示。

那通过这种方式无法获得文件内容，是不是可以利用PE系统重置密码，进入原系统获取文件内容呢？

尝试一下便知是否可行，首先重置密码。

使用新密码进入操作系统后，会发现文件已无法正常打开，查看文件十六进制内容，发现与在PE模式下看的内容一样，说明此时文件仍处于未解密状态，意味着前面更改密码的操作对文件解密产生了影响。

将操作系统密码更改回之前的密码，再次进入系统，发现文件已经能够正常访问，如下图所示。

通过以上简单且不严谨的对比，可以发现EFS是相对安全可靠的，在日常生活中通过该功能对重要文件进行加密保护是没问题的。

3、流程及密钥备份

查询资料得知，EFS文件加密流程同时使用了公钥加密算法与对称密钥加密算法，具体流程为：

1. 文件加密密钥FEK（File Encryption Key）随机生成。

2. 使用当前用户的公钥对FEK进行公钥加密，并保存在$EFS数据流中。

3. 使用私钥解密$EFS数据流中的密钥，之后交由EFS驱动程序对文件进行解密。

密钥保存位置为%UserProfile%Application DataMicrosoftCrypto，新装系统或未使用过相关功能的系统不存在该目录。

在使用该功能对文件进行加密后，系统会提示用户对密钥进行导出备份，防止出现密钥丢失无法解密的情况，如下图所示。

按照向导一步步的将密钥进行导出备份，可以确保文件的不会因密钥丢失而无法解密，也正是因为这种情况时有发生，老外戏称EFS功能为延迟的回收站。

至此已对该功能有了一个简单的了解，文件解密的核心在于用户密码、随机生成的文件加密密钥这两个点，便可以围绕这两个点设计场景及环境，制作一道贴近现实的取证类的题目，对EFS相关的知识进行考察。

4、解题方法

这里以一种最简单的考察方式举例，只有磁盘文件系统，但不知道系统密码的场景下解题，思路大致如下：

1. （原系统环境）穷举暴破，系统仿真启动，登录直接打开文件。

2. （非原系统环境）寻找磁盘文件中存在的备份密钥文件及密码，解密文件。

这里使用非原系统环境，需要使用Advanced EFS Data Recovery这款EFS数据恢复软件进行解题。

图上可知软件支持两种模式，一是使用备份导出的密钥进行恢复，二是扫描磁盘中的所有密钥进行匹配尝试。

首先第一种，设置好路径及密码。

设置加密文件所在的磁盘，软件会自动扫描被EFS加密的文件。

之后选择要解密的文件，选择存储路径，即可完成解密。

第二种方式，扫描磁盘中存在的密钥，加载字典进行破解，破解成功后即可解密文件。

首先扫描密钥。

之后加载字典进行密码破解，这一步会比较慢需要耐心等待。

解密成功后进行扫描加密文件并解密。

至此已使用该软件的两种模式成功对文件进行解密。

5、结语

水文一篇，感谢前辈们的付出让这个世界变得丰富多彩，同时也感谢您能看到此处~~~ 关注我们了解更多趣事，我们下期见！