关于win7⽂件夹EFS加密后重装系统的处理⽅式
并⾮重装后⽤相同⽤户名+密码就可以解密的。
Advanced EFS Data Recovery这个软件对格式化重装系统后恢复EFS⽂件没有任何效果。
把NTFS分区转换成FAT32分区⽆效。
私钥不是在刚做完系统时产⽣,⽽是第⼀次加密时产⽣,所以加密完再⽤GHOST还原为刚做完系统时,肯定丢失私钥。
EFS加密恢复的关键
加密过的⽂件的名称在电脑中显⽰为绿⾊。私钥是第⼀次使⽤加密的时候随机产⽣。
备份私钥的⽅法如下:开始菜单的运⾏中输⼊certmgr.msc并回车→个⼈→证书→选择证书→点击右键,选择”所有任务”→导出→选择”导出私钥”。接下来按照向导操作即可。当需要恢复证书(私钥)的时候,双击导出来的⽂件,输⼊之前设置的密码按向导导⼊就可以了。
恢复的关键有三点:(建议在恢复过程中尝试把所有的⽤户⽂件夹C:\Documents and Settings\Administrator\Application Data⾥的东西全部恢复出来.)
第⼀、获得公钥和公钥证书、私钥保存的⽂件、主密钥⽂件;
第⼆、知道原来⽤户的密码和⽤户名;
第三点、知道原来⽤户的SID+RID
私钥保存在
父亲节对父亲的话C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
公钥和公钥证书保存在
C:\Documents and Settings\Administrator\ApplicationData\Microsoft\SystemCertificates\My\Certificates
加密后的主密钥保存在
病假工资怎么算中国护肤品品牌排名C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect
三个⽂件夹都必须要恢复才⾏。
头丽洗发水回关键的⽂件和⽂件夹
知道加密的⽂件不能打开之后,应该马上关机,然后进⼊PE环境。在这个环境⾥使⽤数据恢复⼯具把需要的⽂件给回来。如果电脑⽐较⽼,可以使⽤⽼⽑桃或者深⼭红叶的PE,如果电脑⽐较新,可能需要附加驱动包或者寻⽹友制作的新版⼯具PE,有兴趣可以到⽆忧启动寻。⽽数据恢复⼯具则可以直接它们的绿⾊版放在U盘上,在PE⾥直接运⾏它们的主程序即可进⾏恢复⼯作。恢复⼯具可以使⽤easyrecovery、finaldata、r-studio、Winhex等等,本⽂⽤easyrecovery作为讲解的例⼦,如果你在实际恢复过程中,发现⽂件不到或者到的⽂件是坏的,那么请换另⼀个软件试试看。2017陕西高考
⽤U盘引导进⼊pe环境,直接运⾏U盘上的easyrecovery主程序。在easyrecovery主界⾯中选择”数据恢复”→格式化恢复→选择分区→点击”下⼀步”。等待扫描和⽬录构建完成。在到的⽂件中,根据⽬录树把前⾯提到的⼏个⽂件夹全部恢复出来放置到U盘中,另外还要记下私钥C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA”⽂件夹的名称。如果⽬录树中不到⽂件夹,那么请进⼊”Lostfile”⽂件夹,在⾥⾯的”DIR*”⽂件夹中逐⼀寻。或者使⽤”查”功能查”Crypto”关键词。但是我觉得这个查功能不够强⼤,如果”查”功能查不到的话,建议⼤家还是⼿动⼀次吧,别轻易放弃。⽽且需要提醒⼤家的是,如果到多个⽂件,可以通过”⽇期”判断需要恢复哪⼀个。
回忆⽤户名和密码或者问当事⼈要原来的⽤户名和密码。
构造⼀个可以解密⽂件的⽤户,解密被加密⽂件
如果你对系统有”洁癖”不愿意增加任何多余的⽂件和垃圾配置,那么可以在进⾏这⼀步之前对当前系统做⼀个GHOST备份。
例如私钥为:S-1-5-21-842925246-879983540-1417001333-1003,SID是前⾯的部分,后⾯的1003是RID支付宝好用吗
⼀、构造SID,这⾥我们⽤微软提供的⼀个⼩⼯具来改变SID,⼯具的名称叫做Newsid。程序之后,先同意协议,然后⼀路下⼀步直
到”Choose a SID”;这⾥选择”Specify”下⾯输⼊需要修改的SID,之后继续”Next”,完成之后⾃动重启系统,SID就修改好了。提醒⼀下,如果只是删除了⽤户⽽不是重装系统的话,可以跳过这⼀步,因为SID本来就是⼀样的。
⼆、获得system权限。因为修改HKEY_LOCAL_MACHINESAM需要system⽤户权限。所以这⾥我们使⽤微软提供的psexec⼯具,在开始菜单的运⾏中输⼊cmd命令并回车,打开命令提⽰符窗⼝。之后使⽤CD命令定位到psexec所在的⽬录或者直接以绝对路径例如c:psexec -i -d -s %windir%\这样的命令以system⽤户⾝份运⾏注册表编辑器。
⼩知识:Windows新建⽤户的RID值由HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项
的”F”键值确定。具体的说是在0048偏移量的4个字节,是⼆进制数据。通过修改这个数据可以让新建⽤户拥有⼀样的RID。也就是说我们要指定的RID需要通过新建⽤户实现。
三、修改注册表键值。定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount,到并打开F键值。因为注册表中键值数据是⽤16进制形式存放的,⽽且是反转形式保存。所以在这⾥我们需要这样做:我们要修改的RID是1003,1003转换为16进制是03EB,翻转过来就是EB03。数据的进制转换可以使⽤Windows⾃动的”计算器”转换,别以为这东西没⽤哦。如果转换出来的数据是3位数例如3EB,则需要在前⾯补⼀个0变成4位数03EB。到对应的0048偏移量,把数值修改为我们上⾯推算出来的数值。
四、将上⾯回的⽂件拷⼊对应的⽂件夹
五、依次:①重启更换管理员账户登录→使⽤EFS随便加密⼀个⽂件(⽬的就是产⽣私钥、公钥、主钥的⽂件夹)→把恢复出来的⽂件复制到对应⽂件夹→重启。-----亲测可⾏。
或者:②重启电脑→新建⼀个同名账户,密码也⼀样→⽤新建⽤户登录系统,使⽤EFS随便加密⼀个⽂件(⽬的就是产⽣私钥、公钥、主钥的⽂件夹),然后注销。
就可以正常解密⽂件了。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论