逐梦论坛's Archiver

shillan 发表于 2006-6-20 00:37

[转帖]挽救经NTFS加密的文件

[hr] [align=left][color=#ff0000][b]郑重申明[/b][/color]

[color=#ff0000]我所提供的方法是供大家在挽救个人重要数据的情况下使用,加密和解密是一个相对的过程,加密是手段而不是目的。加密解密就形同于门锁和钥匙,使用正当与否取决于拥有钥匙的人而不是钥匙本身。未经授权访问他人文件属于违法行为,请大家在日常使用过程中自觉尊重个人隐私,遵守相关法律法规![/color]

[hr][color=#6600ff][b][img]http://zplinux.go3.icpcn.com/img/heading_01.gif[/img]问题的提出:[/b][/color][/align][align=left]为了防止个人信息未经授权被其他用户访问,有些朋友会采取ntfs分区访问权限加密的方式给自己的文件加把“锁”。随着时间的推移,用户可能会由于某些原因增加/删除用户账号、重装系统……经过这些操作以后,将出现经ntfs加密的文件无法访问的情况。[color=#6600ff][b](图01)[/b][/color]由此给用户造成了很大的损失。[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_401.gif[/img][/align][align=left]有没有办法在这种情况下最大程度的挽救用户的重要数据呢?下面我就自己平时积累的一些心得体会与大家分享,用实例来演示如何利用ntfs分区访问权限加密的漏洞,采用特定的的方式挽救ntfs格式分区内经过用户访问权限加密的文件。

[b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/heading_02.gif[/img]问题的分析:[/color][/b]

ntfs分区访问权限加密,从原理上说是通过文件格式(ntfs)的支持,采用某种既定的算法,对用户帐号捆绑式的加密。在win2000/xp/2003中,新建一个用户帐号,会随机生成一个id号(id号这个说法不够标准,正确的叫法是什么请大家自行到网上搜索查阅相关文章,这里我就权且叫它为id号)与账号对应。ntfs分区访问权限加密就是与对应的id号一一对应的加密。换句话说,重装系统以后就算使用相同的用户账号名称,但是由于对应的id号是随机生成的,两次的id号不相同(当然可以通过预先备份id号的方法使其相同),这就是造成重装系统以后导致经过ntfs分区访问权限加密过的文件和文件夹提示为没有访问权限的原因。

[img]http://zplinux.go3.icpcn.com/img/heading_03.gif[/img][color=#6600ff][b]问题的解决途径:[/b][/color]

常规方式下,如果你具有administrator权限的话,可以重新设定文件的ntfs加密属性,添加当前用户为合法用户,这样就可以达到预期的访问目的。
如果用户不具备在administrator权限,或者虽然具备权限但是由于某些原因导致按照常规方法操作不成功,那么可以采用反其道行之的方式操作——windows环境下无计可施了,我们不妨尝试在其他操作系统下(dos、windows 98、linux、……)对其操作。这样做是有理由的。既然加密是在windows下进行的,换句话说,ntfs磁盘格式所作的仅仅是存储加密后的权限访问信息,加密过的文件有没有访问权限也是通过windows2000/xp/2003系统来判断。只要我们绕过windows2000/xp/2003系统,就可以忽略加密后的权限访问信息达到预期的目的。

[color=#6600ff][b][img]http://zplinux.go3.icpcn.com/img/heading_04.gif[/img]实例演示环境:[/b][/color]

在 windows 2003 环境中,对优盘进行格式化为ntfs文件格式,新建一个文件夹命名为 test ,文件夹内新建一个文本文件 file.txt 文本文件内容为:“hello ! this is a text file !”。设置访问权限之后,拿到另外的计算机上进行演示。其中一台计算机的环境是 windows xp ,另外一台计算机的环境是 red flag linux v4.0。以此来模拟重装系统后挽救ntfs格式分区内经过用户访问权限加密的文件。[color=#6600ff][b](图02)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_402.gif[/img][/color][/b][/align][align=left][color=#6600ff][b][img]http://zplinux.go3.icpcn.com/img/heading_05.gif[/img]实例讲述:[/b][/color]

[color=#6600ff]★ 常规方式破解:[/color]

如果你具有administrator权限的话,察看文件ntfs加密属性的时候,可以看到类似于[color=#6600ff][b](图03)[/b][/color]所示的情况。[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_403.gif[/img]

我们可以通过重新设定文件的ntfs加密属性的办法,添加当前用户为合法用户,这样就可以达到预期的访问目的。步骤参见下图:[color=#6600ff][b](图04、05、06、07、08)[/b][/color]
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_404.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_405.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_406.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_407.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_408.gif[/img]

设置以后,我们就可以正常访问到被ntfs方式加密过的文件了。[color=#6600ff][b](图09)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_409.gif[/img][/color][/b]

[color=#6600ff]★ ghost + ghost explorer 方式破解:[/color]

采用这中方式破解需要硬盘上某个单一分区中有足够的空间保存加密文件所在分区的*.gho镜像。步骤如下:

首先我们需要用到ghost,可以采用dos下的ghost版本(ghost 6.0/7.0/8.0/8.2),也可以采用基于windows下的ghost版本(ghost 2003/9.0、ghost32 8.0),制作加密文件所在分区的*.gho镜像。[color=#6600ff][b](图10、11、12、13、14、15、16、17)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_410.gif[/img][/color][/b][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_411.gif[/img] [/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_412.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_413.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_414.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_415.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_416.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_417.gif[/img]

制作好 *.gho 镜像以后,我们还需要用到 ghost explorer 这个工具来读取做好的镜像文件并提取出我们需要挽救的数据。[color=#6600ff][b](图18、19、20、21)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_418.gif[/img][/color][/b][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_419.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_420.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_421.gif[/img][/align][align=left]这样我们就可以正常访问到被ntfs方式加密过的文件了。[color=#6600ff][b](图22)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_422.gif[/img][/color][/b]

[color=#6600ff]★ dos 方式破解:[/color]

熟悉dos操作系统的朋友一定知道dos系统能够支持的仅仅是fat 、fat16 、fat32 三种磁盘格式。对于ntfs格式并不支持。这里给大家介绍两个有用的dos下的工具:
[color=#ff0000]"ntfs file system driver for dos" (当前版本 v2.02r+)
"ntfsdos professional edition" (当前版本 v4.03)[/color]
下载地址分别是:
http://www.sysinternals.com
http://www.winternals.com
前者提供对dos下对ntfs格式分区的只读访问(read only),后者对ntfs格式分区提供读写访问(read and write)。大家可以根据自己的情况选择其中一个使用即可。这里我用"ntfsdos professional edition v4.03"进行演示:[color=#6600ff][b](图23、24、25、26)[/b][/color][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_423.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_424.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_425.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_426.gif[/img][/align][align=left]可以看到我们已经成功的突破了ntfs权限加密,成功访问了被加密的文件。当然我们也可以通过使用dos命令:copy move 达到挽救目标文件的目的。

[color=#6600ff]★ windows 98 方式破解:[/color](与dos方式原理上很类似,这里不做演示)

与dos下操作的原理类似。这里需要借助的工具软件是:[color=#ff0000]ntfs for windows 98.exe[/color],这个工具使windows 98能够对ntfs格式分区的只读访问(read only)。很多网站都提供这个工具的下载,搜索一下就可以找得到。

[color=#6600ff]★ linux 方式破解:[/color]

red hat linux 用户可以通过编辑/etc/fstab文件来实现自动载入ntfs分区操作,这里就不详细表述了。
red flag linux 用户更加简单,这是个比较智能化的适合于国内大多数用户使用的中文版linux,可以自动加载ntfs分区,自动识别优盘。这里我用"red flag linux v4.0"环境进行演示:[color=#6600ff][b](图27、28、29、30、31)[/b][/color][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_427.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_428.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_429.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_430.gif[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_431.gif[/img][/align][align=left]由上图可以看到我们已经成功的突破了ntfs权限加密,成功访问了被加密的文件。我们可以通过复制、移动、粘贴的方法达到挽救目标文件的目的。[/align]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.