IceSword 真的能够破解被 EFS 加密过的文件吗?
序:
在盆盆的 EFS加密的一线生机-加密帐户被删的补救方法 一文中,提到了一些使用特殊方法手工解密被 EFS 加密过的文件的操作流程。所有这些流程都是基于拥有私钥的前提下,但是 反馈说,IceSword能够破解被 EFS 加密的文件。这是真的吗?
作为了解 EFS 文件加密方式的所有人都非常怀疑使用IceSword能够破解被 EFS 加密的文件的正确性,我也不例外,因此,本着求证的思想,我做了一次试验。
测试方法:
- 新建2个用户:usera和userb,分别采用不同的密码。
- usera隶属于users组,userb隶属于administrators组。
- 先使用usera登录,创建一个文档,然后对这个文档加密。
- 然后注销usera,使用userb登录,尝试打开usera加密的文档,记录结果。
- 然后启动icesowrd,从文件栏里面把usera加密的文件复制出来,尝试打开复制以后的文件并检查内容和原始的是否相符,并记录结果。
- 重新启动系统。
- 使用userb登录,重复第5步操作。
- 对比第4步、第5步、第7步操作结果,得出结论。
试验的全程进行了录像,录像没有经过任何剪辑,绝对是原始的。
录像的下载地址是:http://www.kztechs.com/icesword_efs/icesword.wmv,需要安装有 Windows Media Player 9.0 解码器才能够正常播放。
试验结论:
- 如果新建2个用户usera和userb,在usera进行完EFS加密以后,如果马上注销usera,然后使用userb登录,IceSword能够将usera加密以后的文档复制出来并且和原内容一致。
- 如果进行EFS加密处理以后重新启动过系统,则IceSword仍能够将usera加密以后的文档复制出来,但是复制出来的内容还是经过加密的,无法查看原内容。
- 结论2证实了EFS加密是可靠的,被EFS处理过的文件要解密需要秘钥的支持。至于结论1的现象,是因为在使用IceSword复制出来之前,文件已经被解密,然后才被保存到新的目的地。不能证明IceSword能够破解EFS加密体系。
- EFS是安全可靠的。
感谢盆盆对本次实验的帮助。