密钥文件丢失数据恢复成功案例

【数据恢复客户】
西安某铁路站点 
【数据恢复故障描述】
WINDOWS系统，1T硬盘2块，EFS加密文件无法打开，密钥文件丢失导致加密文件无法打开。
 
【故障原理及恢复思路】

在使用EFS加密一个NTFS文件时，系统首先会生成一个伪随机数FEK，然后用FEK加密数据并对文件进行原位覆写。随后系统利用你的公钥加密FEK，并把加密后的FEk存储在加密文件的$EFS属性中.

而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件.在首次使用EFS时,如果用户还没有公钥,则会首先生成密钥,然后加密数据.如果你登录到了域环境中,密钥的生成依赖于控制器,否则它就依赖于本地机器.

用户私钥是解密EFS文件的关键,私钥保存于WINDOWS分区的Documents and Setting \%UseName%Application Date\Microsoft\Protect\%UserSID%,然后再用用户密码生成的密钥对主密进行加密。

【检测流程】

1.        查看现有系统占用空间;

2.        查看现在有MFT文件目录数占用空间.

【恢复流程】

1.        查找或重组加密FEK的私钥;

2.        查找可重组加密私钥的主密钥;

3.        根据用户提供的用户密码进行校验匹配,解密用户文件;

4.        对解密出来的文件进行逻辑分析和校验,迁移出用户所需数据.

 【数据修复结果】
历时3个作日，数据恢复成功
 
【负责工程师】
北亚数据恢复中心- 刘子阳
联系方式：01082488249-804；
工程师ID：804
北亚数据恢复中心服务电话：4006505646

【数据恢复服务承诺】
1.免费检测
2.与客户签订保密协议，对客户的数据严格保密
3.数据恢复不成功不收费
4.专业工程师提供服务
5.数据恢复前报价，客户确认后工程师开始数据修复