恢复重装系统后的EFS加密文件
本来要写一段前言的讲一下事情的经过的,最后决定删除,直接进入主题“恢复重装系统后的EFS加密文件”(PS:我在网上基本没搜到有意义的教程,基本上都是有偿恢复的广告。如果你看了这篇文章还是不懂,那只能花大价钱去找人恢复了!)
EFS解密分为两种情况:(注意!我是在虚拟机XP系统环境下,7/8/10修改SID可能蓝屏!以下图片我是在本机上截的图,实际操作不是WIN7系统哦!)
1)有备份过相关的系统文件:
如果你备份过“用户(USER)文件夹”的话,那么恭喜你,离恢复更进一步了。你只需要找到这三个文件夹,分别是“公钥”、“私钥”、“加密后主密钥”。以下列举我的电脑中这三个文件夹的具体路径(请你举一反三,不要问为什么把路径复制到你的电脑上没有这个文件夹)。
公钥:C:\Users\pc\AppData\Roaming\Microsoft\Crypto\RSA (PC是我电脑账户名,把他替换成你当时登陆后进行EFS加密的账户,下同)
私钥:C:\Users\pc\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates
加密后主密钥:C:\Users\pc\AppData\Roaming\Microsoft\Protect
在这三个文件夹下,有一串以数字命名的文件夹名字,这个非常重要!!(这就是你旧电脑的唯一标识码),例如我的是:S-1-5-21-1087013027-1066046109-1104206605-1005,后面1005是我的RID,SID是前面的部分。
使用微软小工具“Newsid”把你重装后电脑的SID改成你之前电脑的SID进行一个伪装(我就不提供下载地址了,自行百度)。打开小工具之后,点击“Next >”进入修改SID的界面:
选择“Specify SID”,意思就是指定一个SID,输入完之后点击“Next >”更改即可。
这样,我的SID就更改成重装前的样子了,伪装成功!我来查看一下有无更改成功,打开CMD,输入“whoami /user”。
确定更改成功后,再准备获取system权限。因为修改HKEY_LOCAL_MACHINESAM需要system用户权限。所以这里我们使用微软提供的psexec工具,在开始菜单的运行中输入cmd命令并回车,打开命令提示符窗口。输入“c: psexec -i -d -s %windir% regedit.exe”,以system用户身份运行注册表编辑器。
修改注册表键值。定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account,找到并打开F键值。因为注册表中键值数据是用16进制形式存放的,而且是反转形式保存。
所以在这里我们需要这样做:我们要修改的RID是1005,1005转换为16进制是03ED,翻转过来就是ED03。数据的进制转换可以百度“在线进制转换”(例如1005是十进制的,你转成16进制就可以了)。如果转换出来的数据是3位数例如3ED,则需要在前面补一个0变成4位数03ED。找到对应的0048偏移量,把数值修改为我们上面推算出来的数值。
我这边新建了一个“SAM测试”进行演示,我们将刚刚得到的数值数据“ED03”(反转后)修改到0048偏移量的位置,然后在扩展为4个字节,也就是“ED 03 00 00”,如图所示。
依次重启电脑-->新建一个同名账户,密码也一样-->用新建用户登录系统,使用EFS随便加密一个文件,然后注销或者重启更换管理员账户登录-->把恢复出来的文件复制到对应文件夹-->重启。当再用新建用户登录的时候,就可以正常解密文件了。
2)没有备份过相关的系统文件:
这个就比较麻烦了,你需要用工具或者找电脑店的人进行恢复数据操作。也就是恢复你重装前C盘EFS相关的文件,这个难度也是比较大的!如果你完全不懂,建议你去电脑店找专业的人帮你操作。如果你之前有过相关的经验,可以使用“easyrecovery”、“finaldata”等工具进行操作。然后恢复上述的三个文件夹即可,当然三个文件夹内的数据都能恢复更好,因为你不知道你加密后自动生成的密钥到底是哪个文件,只能靠“修改日期”(也相当于你的加密日期)来进行测试!
如果运气好恢复回来了,恭喜你!再回到第一部分“有备份过相关的系统文件”进行操作
3)使用工具暴力破解:
比较常用的“H-EFSRecovery”与“EFS KEY”,工具就不多介绍了,你自己去一个个文件的试吧!
结束:
整个流程下来对于小白而言,相当复杂。如果你想操作解密,建议你把加密过的文件所在的盘进行备份,然后恢复到其他电脑中操作(我在virtualbox虚拟机中测试会出问题,所以建议到其他实体电脑中测试);如果你想找淘宝或者电脑店的人解密,而且你文件很多的话,提前准备好大量的money,到时候报价的时候克制住自己的眼泪..
恢复重装系统后的EFS加密文件相关推荐
- 电脑重装系统后文件还能恢复吗?恢复文件的详细图文教程
电脑重装系统,简单来说就是重新安装电脑的操作系统.一般选择重新安装电脑的系统,无非是电脑蓝屏.系统运行速度慢.崩溃死机等问题. 很多人会有疑惑,电脑重装系统后文件还能恢复吗?重装系统会造成数据全部被清 ...
- 无法识别 移动固态硬盘_重装系统后无法识别移动固态硬盘 - 卡饭网
安装固态硬盘重装系统后找不到机械硬盘怎么办 安装固态硬盘重装系统后找不到机械硬盘怎么办 安装固态硬盘能够提升电脑性能,所以很多人都选择安装,一般把系统及常用软件安装在固态硬盘上,安装固态硬盘重装系统后 ...
- 电脑重装系统后数据恢复(内含图文教学)
电脑重装系统后所有自己写入的数据都会消失,也就是你的电脑自己下载或转移过来的东西都会随之消失,一切都等于回到原点(出厂时的配置及布局).若是想要电脑重装系统后数据恢复,能做到吗? 一般我们想要重装系统 ...
- EFS加密解密----重装系统后
重装系统尤其是格式化重装系统之后,如果没有正确地备份私钥,那么加密的文件将无法打开,加密的文件也暂时没有办法进行快速破解. 并非重装后用相同用户名+密码就可以解密的. Advanced EFS Dat ...
- 电脑重装系统后文件还能恢复吗?2个方法助你还原文件
电脑重装系统后文件还能恢复吗?此时可能你面临一个难题:已经重装了电脑,但是发现丢失的问题.实际上,一般当电脑出现运行缓慢,或者是电脑系统出现故障无法修复的时候,大家都会选择一种简单的解决方法--重新电 ...
- 重装系统后ORACLE数据库恢复
2019独角兽企业重金招聘Python工程师标准>>> ORACLE数据库恢复的方法我们经常会用到,下面就为您介绍重装系统后ORACLE数据库恢复的方法,希望对您学习ORACLE数据 ...
- svn迁移,备份,重装系统后恢复数据
svn迁移,备份,重装系统后恢复数据 收藏 svn服务要迁移到其它linux主机上 原服务器svn配置 仓库路径:/home/svn/repos 权限文件:/home/svn/svn-access-f ...
- 重装系统后恢复oracle数据
2019独角兽企业重金招聘Python工程师标准>>> 由于前段时间重装了系统,今天重装了数据库oracle XE版本,用"移花接木"的手段将新装oracle的目 ...
- laravel encryptstring加密使用方法_磁盘加密怎么取消 重装系统后加密磁盘无法使用的解决方法...
有用户会给磁盘加密,但是重装系统后却无法解密了,该如何解决呢?不少人给磁盘加密后都会忘了解密,导致重装系统后无法使用,下面就给大家分享具体解决方法. 解决方法: 1.单击桌面左下角开始按钮,从弹出的菜 ...
最新文章
- 使用openpyxl处理表格数据
- if xxx.strip()函数的使用
- Kubernetes初体验
- lazada本地店和跨境店的优劣势分析
- opengl游戏引擎源码_渲染概念:1.引擎二三事
- html文字超链接不让变色,css不让超链接变色怎么设置?
- renderthread是什么_Android5.0中 hwui 中 RenderThread 工作流程
- 光纤交换机的配置 光纤交换机的由来是什么
- 显示日期的指令: date
- Office365邮局开启SPF、DKIM与DMARC
- 麒麟 810 实体芯片亮相;1325 个安卓应用私自搜集数据;Linux Kernel 5.2 发布 | 极客头条...
- 华硕笔记本 FX50J 触控板驱动
- es6 7 8 9 10特性归纳
- 限流10万QPS、跨域、过滤器、令牌桶算法-网关Gateway内容乔哥都给你总结在这儿了...
- windows 图片和传真查看器不能旋转
- 什么是socket通信
- Java生成word表单|勾选框
- wltp和nedc续航差多少_WLTP续航和NEDC续航差多少?
- 为什么Tesla显卡那么贵
- vue项目每次打开显示的端口号都不一样