WINDOWS XP SP2 NTFS EFS加密文件的解密案例

转载请保留原作网站：http://www.sjhf.net （关键字：EFS解密）
    北京一用户，原系统分为3个区，C盘安装WINDOWS XP SP2,D及E盘为用户重要数据区，其中D盘有用户特别重要的几个文件，当初为安全性考虑，设置了NTFS的EFS加密，后系统运行缓慢，重装系统。
    系统重装后，再次打开D盘的那几个加密文件（DOC）时，提示"文件只读或被加密"，无法打开。
    这种问题很普遍，之前有很多用户因此操作导致数据丢失，造成巨大损失。但这种情况却并不是一定无药可救的。只要能从原C（原系统分区）中提取出重要的公钥及私钥（重点是私钥），数据就还是有希望的。
    上述案例，重点在于，重装系统导致
    1、用用户密码加密的主密钥
    2、用主密钥加密的私钥
    3、最初给文件加密时用的公钥
    这三部分无法直接看到。而加密文件本身存储的两个数据流：密文及用公钥加密后的文件加密密钥（FEK），这两个数据流只要D盘的文件系统没问题，便不会丢失。所以只要想办法找到上述丢失的三个密钥，一层层解出私钥，再用私钥解密FEK，最终解密密文，数据但可以还原出来。
    C盘已经被重新安装过，所以之前的文件不一定还存在，这是是否可以成功解密EFS文件的一个关键点。此例中，通过对C盘文件系统的分析，成功解出原先丢失的三个密钥。
    接下来，需要在系统中构建原用户，使系统自动实现解密。
    修改注册表中下一个用户ID，新建一与原用户名称、密码相同的用户ID;
    修改注册表中机器ID为从原C 中提取出来的机器ID;
    修改用户配置文件，即还原原来的主密钥、私钥及公钥。
    再次打开原来的加密文件，自动解密成功！

上一篇：成功恢复了一例误GHOST后FAT32分区上的SQL碎片数据库文件

下一篇：成功数据恢复一例LINUX EXT3 下误删除ORACLE数据库

m.lx>