CN102945194B - 一种efs加密文件的恢复方法及系统 - Google Patents

Abstract

本发明属于文件恢复技术领域，具体涉及一种EFS加密文件的恢复方法及系统。本发明通过创建一个新的大小相同的EFS加密文件，再通过将需恢复的EFS加密文件的加密数据和$EFS属性数据与新建的EFS加密文件的加密数据和$EFS属性数据进行替换，进而使得新建的EFS加密文件和需恢复的EFS加密文件相同，从而恢复误删除、格式化等原因丢失的EFS加密文件。

Description

一种EFS加密文件的恢复方法及系统

技术领域

本发明属于文件恢复技术领域，具体涉及一种EFS加密文件的恢复方法及系统。

背景技术

NTFS是Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的标准文件系统。NTFS取代了文件分配表（FAT）文件系统，为Microsoft的Windows系列操作系统提供文件系统。

NTFS中，卷中所有存放的数据均在一个叫$MFT的文件中，叫主文件表(Master FileTable)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的，通常情况下均为1KB，这个概念相当于Linux中的inode。File Record在$MFT文件中物理上是连续的，且从0开始编号。$MFT仅供File System本身组织、架构文件系统使用，这在NTFS中称为元数据(MFTadata)。

主文件表(MFT)的是一个映射磁盘中储存的所有对象的索引文件。在MFT中，NTFS磁盘上的每个文件(包括MFT自身)至少有一映射项。MFT中的各项包含如下数据：大小、时间及时间戳、安全属性和数据位置。

文件加密，是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。

EFS(Encrypting File System，加密文件系统)是Windows 2000及以上Windows版本中，用于对NTFS文件系统卷上的文件进行加密。

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

目前已知EFS文件的恢复方法，只局限于文件没有被删除，或者文件所在分区没有被格式化的情况。但是，当一个EFS文件因为文件被误删除、格式化等原因数据丢失时，目前没有任何公开的方法或者软件能够恢复。

发明内容

为了解决上述问题，本发明的目的在于提供一种EFS加密文件的恢复方法及系统，用于恢复误删除、格式化等原因丢失的EFS加密文件。

为了实现上述发明目的，本发明所采取的技术方案如下：

一种EFS加密文件的恢复方法，包括以下步骤：

扫描获取待恢复的第一EFS加密文件的第一主文件表（MFT）所在磁盘中的位置；

根据所述第一主文件表（MFT）获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表（MFT）所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

根据所述第二主文件表（MFT）获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

进一步的，根据主文件表（MFT）获取EFS加密文件的加密数据和EFS属性数据在磁盘中的位置，具体是：读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的未命名$DATA属性获取加密数据所在磁盘中的位置；读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的$EFS属性获取$EFS属性数据所在磁盘中的位置。

进一步的，将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。

进一步的，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表（MFT）中的更新序列数组（Update SequenceArray）的每个元素依次和第一主文件表（MFT）中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第二主文件表（MFT）中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

进一步的，所述创建的第二EFS加密文件所在的分区与所述第一EFS加密文件所在的分区不同。

进一步的，在向第二EFS加密文件写入第一EFS加密文件的加密数据和$EFS属性数据后，还包括：重新启动计算机；或者重新加载所述第二EFS加密文件所在的磁盘分区。

一种EFS加密文件的恢复系统，该系统包括以下模块：

第一主文件表（MFT）位置获取模块，扫描获取待恢复的第一EFS加密文件的第一主文件表（MFT）所在磁盘中的位置；

第一EFS加密文件的加密数据和$EFS属性数据获取模块，根据所述第一主文件表（MFT）获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

第二EFS加密文件创建模块，在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表（MFT）所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

第二EFS加密文件的加密数据和$EFS属性获取模块，根据所述第二主文件表（MFT）获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

加密数据写入模块，读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

$EFS属性数据写入模块，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

进一步的，所述第一EFS加密文件的加密数据和$EFS属性数据获取模块与第二EFS加密文件的加密数据和$EFS属性数据获取模块根据主文件表（MFT）获取EFS加密文件的加密数据和EFS属性数据在磁盘中的位置，具体是：读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的未命名$DATA属性获取加密数据所在磁盘中的位置；读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的$EFS属性获取$EFS属性数据所在磁盘中的位置。

进一步的，所述加密数据写入模块将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。

进一步的，所述$EFS属性数据写入模块读取所述第一EFS加密文件的$EFS属性，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第一主文件表（MFT）中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表（MFT）中的更新序列数组（Update SequenceArray）的每个元素依次和第二主文件表（MFT）中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

通过本发明公开的方法和系统，可以恢复误删除、格式化等原因丢失的EFS加密文件，进而为用户EFS加密数据丢失提供一种恢复手段。

附图说明

此附图说明所提供的图片用来辅助对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的不当限定，在附图中：

图1是本发明方法对应的流程图；

图2是本发明系统对应的框图。

具体实施方式

实施例1：

如图1所示，本实施例公开了一种EFS加密文件的恢复方法，包括以下步骤：

Step1：扫描获取待恢复的第一EFS加密文件的第一主文件表（MFT）所在磁盘中的位置；本步骤中所述的待恢复的第一EFS加密文件，即是被误删除、格式化等原因丢失的EFS加密文件；其中，主文件表（MFT）中的各项包含如下数据：文件名、文件大小、文件建立时间、文件修改时间、文件最后访问时间、数据位置、$EFS属性等；

Step2：根据所述第一主文件表（MFT）获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；当NTFS加密文件的时候，它首先会为文件设置加密标志，然后在MFT中为文件创建一个$EFS属性；加密数据和$EFS属性数据，就是本发明恢复第一EFS加密文件的两个重要参数；

Step3：在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表（MFT）所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；创建第二EFS加密文件时，其文件名可以和第一EFS加密文件同名，并对该文件写入足够的数据，以保证该文件的大小与要恢复的文件大小一致；对第二EFS加密文件进行EFS加密处理时，具体可以通过调用系统shell命令“cipher”来实现；

Step4：根据所述第二主文件表（MFT）获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

Step5：读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

Step6：读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置；

Step7：为了让文件系统识别写入第一EFS加密文件的加密数据和$EFS属性数据后的第二EFS加密文件，可能需要重新启动计算机，或者重新加载所述第二EFS加密文件所在的磁盘分区。

其中，根据主文件表（MFT）获取EFS加密文件的加密数据和EFS属性数据在磁盘中的位置，具体是：读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的未命名$DATA属性获取加密数据所在磁盘中的位置；读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的$EFS属性获取$EFS属性数据所在磁盘中的位置。

其中，将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。如果文件A的数据量很大，不足以一次读写完成，可再重复多次读写，以保证第一EFS加密文件的所有加密数据都被写入到第二EFS加密文件的加密数据所在磁盘位置中。

其中，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：

判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第一主文件表（MFT）中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；

判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第二主文件表（MFT）中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

其中，为保证恢复成功率，创建的第二EFS加密文件所在的分区与所述第一EFS加密文件所在的分区不同，以免因为数据覆盖造成恢复失败。

实施例2：

如图2所示，本实施例公开了一种与实施例1相对应的EFS加密文件的恢复系统，该系统包括以下模块：

第一主文件表（MFT）位置获取模块1，扫描获取待恢复的第一EFS加密文件的第一主文件表（MFT）所在磁盘中的位置；

第一EFS加密文件的加密数据和$EFS属性数据获取模块2，根据所述第一主文件表（MFT）获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

第二EFS加密文件创建模块3，在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表（MFT）所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

第二EFS加密文件的加密数据和$EFS属性数据获取模块4，根据所述第二主文件表（MFT）获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

加密数据写入模块，读取所述第一EFS加密文件的加密数据5，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

$EFS属性数据写入模块6，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

其中，所述第一EFS加密文件的加密数据和$EFS属性数据获取模块与第二EFS加密文件的加密数据和$EFS属性数据获取模块根据主文件表（MFT）获取EFS加密文件的加密数据和EFS属性数据在磁盘中的位置，具体是：

读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的未命名$DATA属性获取加密数据所在磁盘中的位置；

读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的$EFS属性获取$EFS属性数据所在磁盘中的位置。

其中，所述加密数据写入模块将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。

其中，所述$EFS属性数据写入模块读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：

判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第一主文件表（MFT）中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；

判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表（MFT）中的更新序列数组（Update Sequence Array）的每个元素依次和第二主文件表（MFT）中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

其中，所述创建的第二EFS加密文件所在的分区与所述第一EFS加密文件所在的分区不同。

其中，在向第二EFS加密文件写入第一EFS加密文件的加密数据和$EFS属性数据后，还包括：重新启动计算机或者重新加载所述第二EFS加密文件所在的磁盘分区。

由于本实施例的系统和实施例1的方法完全对应，所以对于该系统的详细说明就不再累述。

以上实施例公开的方法和系统，  通过创建一个新的大小相同的EFS加密文件，再通过将需恢复的EFS加密文件的加密数据和$EFS属性数据与新建的EFS加密文件的加密数据和$EFS属性数据进行替换，进而使得新建的EFS加密文件和需恢复的EFS加密文件相同，从而恢复误删除、格式化等原因丢失的EFS加密文件。

以上详细描述了本发明的较佳具体实施例，应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案，均应该在由本权利要求书所确定的保护范围之中。

Claims (8)

1.一种EFS加密文件的恢复方法，其特征在于包括以下步骤：

扫描获取待恢复的第一EFS加密文件的第一主文件表(MFT)所在磁盘中的位置；

根据所述第一主文件表(MFT)获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；读取EFS加密文件的主文件表(MFT)，并根据该主文件表(MFT)中的未命名$DATA属性获取加密数据所在磁盘中的位置；

读取EFS加密文件的主文件表(MFT)，并根据该主文件表(MFT)中的$EFS属性获取$EFS属性数据所在磁盘中的位置；

在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表(MFT)所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

根据所述第二主文件表(MFT)获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

2.根据权利要求1所述的EFS加密文件的恢复方法，其特征在于：

将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。

3.根据权利要求1所述的EFS加密文件的恢复方法，其特征在于，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：

判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表(MFT)中的更新序列数组(Update Sequence Array)的每个元素依次和第一主文件表(MFT)中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；

判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表(MFT)中的更新序列数组(Update Sequence Array)的每个元素依次和第二主文件表(MFT)中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

4.根据权利要求1所述的EFS加密文件的恢复方法，其特征在于：

所述创建的第二EFS加密文件所在的分区与所述第一EFS加密文件所在的分区不同。

5.根据权利要求1所述的EFS加密文件的恢复方法，其特征在于，在向第二EFS加密文件写入第一EFS加密文件的加密数据和$EFS属性数据后，还包括：

重新启动计算机；

或者重新加载所述第二EFS加密文件所在的磁盘分区。

6.一种EFS加密文件的恢复系统，其特征在于该系统包括以下模块：

第一主文件表(MFT)位置获取模块，扫描获取待恢复的第一EFS加密文件的第一主文件表(MFT)所在磁盘中的位置；读取EFS加密文件的主文件表(MFT)，并根据该主文件表(MFT)中的未命名$DATA属性获取加密数据所在磁盘中的位置；

读取EFS加密文件的主文件表(MFT)，并根据该主文件表(MFT)中的$EFS属性获取$EFS属性数据所在磁盘中的位置；

第一EFS加密文件的加密数据和$EFS属性数据获取模块，根据所述第一主文件表(MFT)获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

第二EFS加密文件创建模块，在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表(MFT)所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

第二EFS加密文件的加密数据和$EFS属性数据获取模块，根据所述第二主文件表(MFT)获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

加密数据写入模块，读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

$EFS属性数据写入模块，读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

7.根据权利要求6所述的EFS加密文件的恢复系统，其特征在于：

所述加密数据写入模块将所述第一EFS加密文件的加密数据写入到第二EFS加密文件的加密数据所在位置时，一次或多次读写完成。

8.根据权利要求6所述的EFS加密文件的恢复系统，其特征在于：

所述$EFS属性数据写入模块读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置，具体是：

判断所述第一EFS加密文件的$EFS属性是否为常驻属性，若是，则先将第一主文件表(MFT)中的更新序列数组(Update Sequence Array)的每个元素依次和第一主文件表(MFT)中每个扇区最后2个字节数据进行数据交换，再读取其$EFS属性数据；若否，则直接根据第一EFS加密文件的$EFS属性，读取第一EFS加密文件的$EFS属性数据；

判断所述第二EFS加密文件的$EFS属性是否为常驻属性，若是，则将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在的位置，存盘前需先将第二主文件表(MFT)中的更新序列数组(Update Sequence Array)的每个元素依次和第二主文件表(MFT)中每个扇区最后2个字节数据进行数据交换；若否，则直接将第一EFS加密文件的$EFS属性数据写入第二EFS加密文件的$EFS属性数据所在磁盘中的位置。