對於EFS加密解密,只有兩個辦法
A-ESF法:
下載AESF
打開
搜索公鑰,私鑰
找到待恢復文件
保存
二進製法:
Step1、用Ultariso製作U盤版PE,用U盤引導進入pe環境。直接運行U盤上的easyrecovery主程序。Step2、在easyrecovery主界面中選擇"數據恢復"→格式化恢復→選擇分區→點擊"下一步"。等待掃描和目錄構建完成。Step3、在找到的文件中,根據目錄樹把前面提到的幾個文件夾全部恢復出來放置到U盤中,另外還要記下%UserProfile%Application DataMicrosoftCryptoRSASID這個"SID"文件夾的名稱。如果目錄樹中找不到文件夾,那麼請進入"Lostfile"文件夾,在裡面的"DIR*"文件夾中逐一尋找。或者使用"查找"功能查找"Crypto"關鍵詞。但是我覺得這個查找功能不夠強大,如果"查找"功能查找不到的話,建議大家還是手動找一次吧,別輕易放棄。而且需要提醒大家的是,如果找到多個文件,可以通過"日期"判斷需要恢復哪一個。Step4、回憶用戶名和密碼或者問當事人要原來的用戶名和密碼。 Part3構造一個可以解密文件的用戶,解密被加密文件如果你對系統有"潔癖"不願意增加任何多餘的文件和垃圾配置,那麼可以在進行這一步之前對當前系統做一個GHOST備份。Step1、首先觀察我們之前在第一步step3得到的這串數值:S-1-5-21-842925246-879983540-1417001333-1003,後面的1003是RID,SID是前面的部分。Step2、構造SID,這里我們用微軟提供的一個小工具來改變SID,工具的名稱叫做Newsid。程序之後,先同意協議,然後一路下一步直到"Choose a SID";這里選擇"Specify"下面輸入需要修改的SID,之後繼續"Next",完成之後自動重啟系統,SID就修改好了。提醒一下,如果只是刪除了用戶而不是重裝系統的話,可以跳過這一步,因為SID本來就是一樣的。Step3、獲得system許可權。因為修改HKEY_LOCAL_MACHINESAM需要system用戶許可權。所以這里我們使用微軟提供的psexec工具,在開始菜單的運行中輸入cmd命令並回車,打開命令提示符窗口。之後使用CD命令定位到psexec所在的目錄或者直接以絕對路徑例如c: psexec -i -d -s %windir% egedit.exe這樣的命令以system用戶身份運行注冊表編輯器。小知識:Windows新建用戶的RID值由HKEY_LOCAL_MACHINESAMSAMDomainsAccount注冊表項的"F"鍵值確定。具體的說是在0048偏移量的4個位元組,是二進制數據。通過修改這個數據可以讓新建用戶擁有一樣的RID。也就是說我們要指定的RID需要通過新建用戶實現。 Step4、修改注冊表鍵值。定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount,找到並打開F鍵值。因為注冊表中鍵值數據是用16進制形式存放的,而且是反轉形式保存。所以在這里我們需要這樣做:我們要修改的RID是1003,1003轉換為16進制是03EB,翻轉過來就是EB03。數據的進制轉換可以使用Windows自動的"計算器"轉換,別以為這東西沒用哦。如果轉換出來的數據是3位數例如3EB,則需要在前面補一個0變成4位數03EB。找到對應的0048偏移量,把數值修改為我們上面推算出來的數值。 Step5、依次重啟電腦→新建一個同名賬戶,密碼也一樣→用新建用戶登錄系統,使用EFS隨便加密一個文件,然後注銷或者重啟更換管理員賬戶登錄→把恢復出來的文件復制到對應文件夾→重啟。當再用新建用戶登錄的時候,就可以正常解密文件了。