找回失落的EFS加密文件
发布日期:2015-01-12 作者:win10 64位系统下载官网 来源:http://www.win1064.com
系统自带的EFS加密功能你用过吗?使用EFS加密应该注意些什么问题,丢失了密钥和证书又该如何解决处理呢?下面看看是怎么解决这个问题的。
小梁想保护自己的一些重要文件,听别人介绍系统自带的EFS加密功能强悍实用,于是小梁决定采用此法保护数据。经过实际使用,果然觉得EFS加密方法很好用。过了一段时间,小梁觉得系统运行速度明显降低,于是重新格式化重装了系统,可是当其操作之前的EFS加密文件时,却无法进行正常访问了。这可急坏小梁,他赶紧向技术部的老徐求救,老徐问小梁:“您事先导出了证书和密钥文件了吗?”,“什么证书密钥啊!”,看着小梁一脸的迷茫,老徐好笑又无奈的说:“没有密钥和证书,EFS加密文件几乎无法恢复!”。“啊!我的重要文件难道就此消失了吗?”。看着小梁着急上火的摸样,老徐不紧不慢的说:“办法嘛,还是有的,就是比较麻烦!”。“快说嘛!再麻烦也比重要数据丢失好啊!”老徐并不着急:“要想找回加密文件,还得从EFS加密原理说起!”。
浅析EFS加密原理
老徐告诉小梁,EFS采用的是基于公钥和私钥相配合的加密策略。其实际操作过程比较复杂,简单的说,当加密文件时,Windows会根据当前用户密码派生出密钥,系统使用该密钥对公钥进行加密,之后使用该公钥对私钥进行加密。而且在初次使用EFS加密时,系统会随机产生私钥。小梁好奇的问:“公钥和私钥究竟是些什么文件,它们深藏何处呢?”。“问得好!”,老徐接着说:“加密后的私钥文件保存在“C:\Documents and Settings\账户名\Application Data\Microsoft\Crypto\RSA\SID”文件夹中,注意,其中的“账户名”表示使用EFS加密的账户名称,例如“Administrator”等。“SID”表示系统标示符,实际上就是一串字符,不同的电脑其SID可能不同,例如“S-1-5-21-842925246-1580818891-682003330”等。对应的,公钥文件和证书保存在“C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\My\Certificates”文件夹中。”
“有了公钥和私钥,就可以找回加密文件吗?小梁问道。老徐接着说:“当然还不够,还需要找到EFS主密钥文件,其保存在“C:\Documents and Settings\账户名\Application Data\Microsoft\Protect\SID”文件夹中。”“哦!原来解密EFS文件,还需要这么多密钥的紧密配合啊!”小梁如有所悟的说。”“NO!有了这些密钥还是不够的!”老徐补充道:“要想顺利找回EFS加密文件,总体来说必须拥有以下三个条件,其一是必须获得公钥和公钥证书,私钥和主密码文件,也就是上述三个文件夹中的所有文件。其二是必须使用原用户的账户和密码,其三是使用原账户的SID和RID身份标识信息。”“什么是SID和RID啊?”小梁发问道。“SID是Security Identifiers安全标识符的缩写,是标识用户、组和计算机帐户的唯一的字符串号码。RID即相对标示符,本地帐户的 SID 由计算机的 SID 和附加的 RID(相对标识符)组成。”
找回所需的密钥文件
老徐继续说:“从EFS加密原理分析,只要恢复了相关密钥文件,创建与原账户同名同密码的账户,再根据原账户信息对其SID和RID进行修改,就可以找回这些EFS加密文件了!”“这么复杂啊,有点晕!”小梁面有难色。“其实操作起来并不复杂!”,老梁一边说,一边拿出优盘查到小梁的电脑上,“这是WinPE优盘,里面有不少反删除工具,找回密钥文件全靠它了。”老徐使用WinPE优盘引导系统,进入Windows PE环境。之后随手启动了Easy Recovery这款强悍的恢复工具。“Easy Recovery很好用,恢复文件很给力!”老徐满脸自信的说。老徐在Easy Recovery主界面(如图1)左侧点击“数据恢复”项,在右侧窗口中点击“格式化恢复”按钮,在向导界面左侧选择目标磁盘,这里为C盘,点击“下一步”按钮,Easy Recovery即可对C盘进行深度扫描,来寻找可以恢复的格式化之前的文件。
小梁想保护自己的一些重要文件,听别人介绍系统自带的EFS加密功能强悍实用,于是小梁决定采用此法保护数据。经过实际使用,果然觉得EFS加密方法很好用。过了一段时间,小梁觉得系统运行速度明显降低,于是重新格式化重装了系统,可是当其操作之前的EFS加密文件时,却无法进行正常访问了。这可急坏小梁,他赶紧向技术部的老徐求救,老徐问小梁:“您事先导出了证书和密钥文件了吗?”,“什么证书密钥啊!”,看着小梁一脸的迷茫,老徐好笑又无奈的说:“没有密钥和证书,EFS加密文件几乎无法恢复!”。“啊!我的重要文件难道就此消失了吗?”。看着小梁着急上火的摸样,老徐不紧不慢的说:“办法嘛,还是有的,就是比较麻烦!”。“快说嘛!再麻烦也比重要数据丢失好啊!”老徐并不着急:“要想找回加密文件,还得从EFS加密原理说起!”。
浅析EFS加密原理
老徐告诉小梁,EFS采用的是基于公钥和私钥相配合的加密策略。其实际操作过程比较复杂,简单的说,当加密文件时,Windows会根据当前用户密码派生出密钥,系统使用该密钥对公钥进行加密,之后使用该公钥对私钥进行加密。而且在初次使用EFS加密时,系统会随机产生私钥。小梁好奇的问:“公钥和私钥究竟是些什么文件,它们深藏何处呢?”。“问得好!”,老徐接着说:“加密后的私钥文件保存在“C:\Documents and Settings\账户名\Application Data\Microsoft\Crypto\RSA\SID”文件夹中,注意,其中的“账户名”表示使用EFS加密的账户名称,例如“Administrator”等。“SID”表示系统标示符,实际上就是一串字符,不同的电脑其SID可能不同,例如“S-1-5-21-842925246-1580818891-682003330”等。对应的,公钥文件和证书保存在“C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\My\Certificates”文件夹中。”
“有了公钥和私钥,就可以找回加密文件吗?小梁问道。老徐接着说:“当然还不够,还需要找到EFS主密钥文件,其保存在“C:\Documents and Settings\账户名\Application Data\Microsoft\Protect\SID”文件夹中。”“哦!原来解密EFS文件,还需要这么多密钥的紧密配合啊!”小梁如有所悟的说。”“NO!有了这些密钥还是不够的!”老徐补充道:“要想顺利找回EFS加密文件,总体来说必须拥有以下三个条件,其一是必须获得公钥和公钥证书,私钥和主密码文件,也就是上述三个文件夹中的所有文件。其二是必须使用原用户的账户和密码,其三是使用原账户的SID和RID身份标识信息。”“什么是SID和RID啊?”小梁发问道。“SID是Security Identifiers安全标识符的缩写,是标识用户、组和计算机帐户的唯一的字符串号码。RID即相对标示符,本地帐户的 SID 由计算机的 SID 和附加的 RID(相对标识符)组成。”
找回所需的密钥文件
老徐继续说:“从EFS加密原理分析,只要恢复了相关密钥文件,创建与原账户同名同密码的账户,再根据原账户信息对其SID和RID进行修改,就可以找回这些EFS加密文件了!”“这么复杂啊,有点晕!”小梁面有难色。“其实操作起来并不复杂!”,老梁一边说,一边拿出优盘查到小梁的电脑上,“这是WinPE优盘,里面有不少反删除工具,找回密钥文件全靠它了。”老徐使用WinPE优盘引导系统,进入Windows PE环境。之后随手启动了Easy Recovery这款强悍的恢复工具。“Easy Recovery很好用,恢复文件很给力!”老徐满脸自信的说。老徐在Easy Recovery主界面(如图1)左侧点击“数据恢复”项,在右侧窗口中点击“格式化恢复”按钮,在向导界面左侧选择目标磁盘,这里为C盘,点击“下一步”按钮,Easy Recovery即可对C盘进行深度扫描,来寻找可以恢复的格式化之前的文件。
