返回目录:win7问题
对于EFS加密解密,只有两个办法
A-ESF法:
下载AESF
打开
搜索公钥,私钥
找到待恢复文件
保存
二进制法:
Step1、用Ultariso制作U盘版PE,用U盘引导进入pe环境。直接运行U盘上的easyrecovery主程序。
Step2、在easyrecovery主界面中选择"数据恢复"→格式化恢复→选择分区→点击"下一步"。等待扫描和目录构建完成。
Step3、在找到的文件中,根据目录树把前面提到的几个文件夹全部恢复出来放置到U盘中,另外还要记下%UserProfile%Application DataMicrosoftCryptoRSASID这个"SID"文件夹的名称。如果目录树中找不到文件夹,那么请进入"Lostfile"文件夹,在里面的"DIR*"文件夹中逐一寻找。或者使用"查找"功能查找"Crypto"关键词。但是我觉得这个查找功能不够强大,如果"查找"功能查找不到的话,建议大家还是手动找一次吧,别轻易放弃。而且需要提醒大家的是,如果找到多个文件,可以通过"日期"判断需要恢复哪一个。
Step4、回忆用户名和密码或者问当事人要原来的用户名和密码。
Part3构造一个可以解密文件的用户,解密被加密文件
如果你对系统有"洁癖"不愿意增加任何多余的文件和垃圾配置,那么可以在进行这一步之前对当前系统做一个GHOST备份。
Step1、首先观察我们之前在第一步step3得到的这串数值:S-1-5-21-842925246-879983540-1417001333-1003,后面的1003是RID,SID是前面的部分。
Step2、构造SID,这里我们用微软提供的一个小工具来改变SID,工具的名称叫做Newsid。程序之后,先同意协议,然后一路下一步直到"Choose a SID";这里选择"Specify"下面输入需要修改的SID,之后继续"Next",完成之后自动重启系统,SID就修改好了。提醒一下,如果只是删除了用户而不是重装系统的话,可以跳过这一步,因为SID本来就是一样的。
Step3、获得system权限。因为修改HKEY_LOCAL_MACHINESAM需要system用户权限。所以这里我们使用微软提供的psexec工具,在开始菜单的运行中输入cmd命令并回车,打开命令提示符窗口。之后使用CD命令定位到psexec所在的目录或者直接以绝对路径例如c: psexec -i -d -s %windir% egedit.exe这样的命令以system用户身份运行注册表编辑器。
小知识:Windows新建用户的RID值由HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项的"F"键值确定。具体的说是在0048偏移量的4个字节,是二进制数据。通过修改这个数据可以让新建用户拥有一样的RID。也就是说我们要指定的RID需要通过新建用户实现。
Step4、修改注册表键值。定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount,找到并打开F键值。因为注册表中键值数据是用16进制形式存放的,而且是反转形式保存。所以在这里我们需要这样做:我们要修改的RID是1003,1003转换为16进制是03EB,翻转过来就是EB03。数据的进制转换可以使用Windows自动的"计算器"转换,别以为这东西没用哦。如果转换出来的数据是3位数例如3EB,则需要在前面补一个0变成4位数03EB。找到对应的0048偏移量,把数值修改为我们上面推算出来的数值。
Step5、依次重启电脑→新建一个同名账户,密码也一样→用新建用户登录系统,使用EFS随便加密一个文件,然后注销或者重启更换管理员账户登录→把恢复出来的文件复制到对应文件夹→e69da5e887aae79fa5e98193361重启。当再用新建用户登录的时候,就可以正常解密文件了。
是用NTFS自带的加密方式加密的吗?zd
也就是在属性那里,高级,选中 加密内容以便保护数据 这一个吗?
如果是,那就是用户权限的问题了
在 文件夹选项 下面,去掉 使用简单文件共享(推荐) 的勾选,然后右击这个文件,属性,在安全那里专,给自己这个用户添加一个完全控制的权限(必须是管理员登录才行),这样就可以了
也可以把下面这个用记事本保存成属 .bat ,然后把那个 打不开的文件夹 拖到这个 批处理文件上面,就可以为当前用户添加一个完全控制的权限了
[code]
@echo off
echo.y|cacls %1 /t /p %username%:f
pause
[/code]
如果不是用这种方式加密的,那这方法就行不通了...
对于EFS加密解密,只有两个办法
A-ESF法:
下载AESF
打开
搜索公钥,私钥
找到待恢复文件
保存
二进制法:
Step1、用Ultariso制作U盘版PE,用U盘引导进入pe环境。直接运行U盘上的easyrecovery主程序。Step2、在easyrecovery主界面中选择"数据恢复"→格式化恢复→选择分区→点击"下一步"。等待扫描和目录构建完成。Step3、在找到的文件中,根据目录树把前面提到的几个文件夹全部恢复出来放置到U盘中,另外还要记下%UserProfile%Application DataMicrosoftCryptoRSASID这个"SID"文件夹的名称。如果目录树中找不到文件夹,那么请进入"Lostfile"文件夹,在里面的"DIR*"文件夹中逐一寻找。或者使用"查找"功能查找"Crypto"关键词。但是我觉得这个查找功能不够强大,如果"查找"功能查找不到的话,建议大家还是手动找一次吧,别轻易放弃。而且需要提醒大家的是,如果找到多个文件,可以通过"日期"判断需要恢复哪一个。Step4、回忆用户名和密码或者问当事人要原来的用户名和密码。 Part3构造一个可以解密文件的用户,解密被加密文件如果你对系统有"洁癖"不愿意增加任何多余的文件和垃圾配置,那么可以在进行这一步之前对当前系统做一个GHOST备份。Step1、首先观察我们之前在第一步step3得到的这串数值:S-1-5-21-842925246-879983540-1417001333-1003,后面的1003是RID,SID是前面的部分。Step2、构造SID,这里我们用微软提供的一个小工具来改变SID,工具的名称叫做Newsid。程序之后,先同意协议,然后一路下一步直到"Choose a SID";这里选择"Specify"下面输入需要修改的SID,之后继续"Next",完成之后自动重启系统,SID就修改好了。提醒一下,如果只是删除了用户而不是重装系统的话,可以跳过7a64e78988e69d83336这一步,因为SID本来就是一样的。Step3、获得system权限。因为修改HKEY_LOCAL_MACHINESAM需要system用户权限。所以这里我们使用微软提供的psexec工具,在开始菜单的运行中输入cmd命令并回车,打开命令提示符窗口。之后使用CD命令定位到psexec所在的目录或者直接以绝对路径例如c: psexec -i -d -s %windir% egedit.exe这样的命令以system用户身份运行注册表编辑器。小知识:Windows新建用户的RID值由HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项的"F"键值确定。具体的说是在0048偏移量的4个字节,是二进制数据。通过修改这个数据可以让新建用户拥有一样的RID。也就是说我们要指定的RID需要通过新建用户实现。 Step4、修改注册表键值。定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount,找到并打开F键值。因为注册表中键值数据是用16进制形式存放的,而且是反转形式保存。所以在这里我们需要这样做:我们要修改的RID是1003,1003转换为16进制是03EB,翻转过来就是EB03。数据的进制转换可以使用Windows自动的"计算器"转换,别以为这东西没用哦。如果转换出来的数据是3位数例如3EB,则需要在前面补一个0变成4位数03EB。找到对应的0048偏移量,把数值修改为我们上面推算出来的数值。 Step5、依次重启电脑→新建一个同名账户,密码也一样→用新建用户登录系统,使用EFS随便加密一个文件,然后注销或者重启更换管理员账户登录→把恢复出来的文件复制到对应文件夹→重启。当再用新建用户登录的时候,就可以正常解密文件了。