[发明专利]一种EFS加密文件的恢复方法及系统

说明书

技术领域

本发明属于文件恢复技术领域，具体涉及一种EFS加密文件的恢复方法及系统。

背景技术

NTFS是Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的标准文件系统。NTFS取代了文件分配表（FAT）文件系统，为Microsoft的Windows系列操作系统提供文件系统。

NTFS中，卷中所有存放的数据均在一个叫$MFT的文件中，叫主文件表(Master FileTable)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的，通常情况下均为1KB，这个概念相当于Linux中的inode。File Record在$MFT文件中物理上是连续的，且从0开始编号。$MFT仅供File System本身组织、架构文件系统使用，这在NTFS中称为元数据(MFTadata)。

主文件表(MFT)的是一个映射磁盘中储存的所有对象的索引文件。在MFT中，NTFS磁盘上的每个文件(包括MFT自身)至少有一映射项。MFT中的各项包含如下数据：大小、时间及时间戳、安全属性和数据位置。

文件加密，是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。

EFS(Encrypting File System，加密文件系统)是Windows 2000及以上Windows版本中，用于对NTFS文件系统卷上的文件进行加密。

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

目前已知EFS文件的恢复方法，只局限于文件没有被删除，或者文件所在分区没有被格式化的情况。但是，当一个EFS文件因为文件被误删除、格式化等原因数据丢失时，目前没有任何公开的方法或者软件能够恢复。

发明内容

为了解决上述问题，本发明的目的在于提供一种EFS加密文件的恢复方法及系统，用于恢复误删除、格式化等原因丢失的EFS加密文件。

为了实现上述发明目的，本发明所采取的技术方案如下：

一种EFS加密文件的恢复方法，包括以下步骤：

扫描获取待恢复的第一EFS加密文件的第一主文件表（MFT）所在磁盘中的位置；

根据所述第一主文件表（MFT）获取该第一EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

在NTFS文件系统的分区中创建第二EFS加密文件，并扫描获取该第二EFS加密文件的第二主文件表（MFT）所在磁盘的位置，该第二EFS加密文件的大小和所述第一EFS加密文件大小相同；

根据所述第二主文件表（MFT）获取该第二EFS加密文件的加密数据和$EFS属性数据在磁盘中的位置；

读取所述第一EFS加密文件的加密数据，并将其写入到所述第二EFS加密文件的加密数据所在磁盘中的位置；

读取所述第一EFS加密文件的$EFS属性数据，并将其写入到第二EFS加密文件的$EFS属性数据所在磁盘中的位置。

进一步的，根据主文件表（MFT）获取EFS加密文件的加密数据和EFS属性数据在磁盘中的位置，具体是：读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的未命名$DATA属性获取加密数据所在磁盘中的位置；读取EFS加密文件的主文件表（MFT），并根据该主文件表（MFT）中的$EFS属性获取$EFS属性数据所在磁盘中的位置。