【绝对原创】做自己的神-拯救efs加密文件

wshzhxbz · 发表于 2009-8-26 08:25:54

前几天遇到了在NTFS格式硬盘上，EFS加密文件无法打开的情况，于是便上网求助。对于没有备份证书就用镜像重做系统的情况网上各种传说都是无解，就是说文件已经没得救了。因为看到各种各样关于EFS加密系统的资料都说其很强大，所以我也一度要放弃了，但最终还是误打误撞地挽救了我的资料。因为自己做的工作比较多，事后对各个步骤进行了检验，差不多有以下一些重要的步骤可以达到拯救加密文件的目的。
要拯救资料的前提是你重做系统所用的镜像和原来所用的镜像相同，其实就是要保证sid不变。
下面就开始拯救我们的资料吧：
一、打开我的电脑->工具->文件夹选项->查看，去掉“隐藏受保护的操作系统文件”前面的对勾，这时会出现提示，点“是”即可，然后选中“显示所有文件和文件夹”，点确定
二、查看被加密文件的属性->高级->详细信息,在弹出的对话框中可以看到证书缩略，将其记下来，或者不关闭对话框。
三、利用“免安装版”finaldata或PowerDataRecovery（建议用finaldata，因为finaldata可以按时间排列，而PowerDataRecovery是按文件夹排列，你还要打开每个文件夹去找你要的文件，非常麻烦，但也可行）恢复C盘里的数据，这个速度有点慢，你可以去吃个饭先。在丢失的目录下，按修改时间排列，找到文件名和证书缩略相同的文件，和它同时产生的应该还有两个文件，将三个文件一起恢复，放在一个文件夹内备用。需要注意的是，该文件夹命名要简单，且放在某个盘的根目录下，如存放在g:\123\内。
四、开始->运行->cmd,输入“attrib g:\123\*.* +s +h”
五、下面的操作是在下面这个文件夹进行的
C:\Documents and Settings\Administrator\Application Data\Microsoft\
将文件名与证书缩略相同的文件复制到下面的文件夹
SystemCertificates\My\Certificates
将文件名最长的文件复制到下面的文件夹
Crypto\RSA\S-1-5-21-1757981266-1004336348-682003330-500（对于S开头的这个文件夹名称你的不会是相同的，但是格式是一样的，这就是传说中的sid）（个人觉得这个文件并不重要）
将剩下的一个文件复制到下面的文件夹
Protect\S-1-5-21-1757981266-1004336348-682003330-500（注解同上）
六、重启计算机，再看看你的文件是否已被解密了呢

本文是专门针对没有备份证书而用镜像重做系统的情况提出的解决办法，对于其他情况是否有效还需要检验。

注：1、有人说用Advanced.EFS.Data.Recovery，这个倒是还行，但是它的恢复会出现乱码，有些文件依然打不开，所以建议按上述步骤来操作。
2、我原来的用户名就是administrator，所以是否需要原来的用户名和密码，我不太清楚。当然，记得用户名和密码最好
3、在整个过程中没有对任何系统文件进行修改，也不需要接触注册表，所以对系统没有任何影响。
4、一家之言，仅供参考，有不完善的地方希望各位指教

dgtan · 发表于 2009-8-26 08:30:52

收藏一下了,蠻不錯的.頂一個.

wshzhxbz · 发表于 2009-8-26 08:45:51

2# dgtan
花了好几天才搞定，不过自己的努力有了结果还是很让人欣慰的

dgtan · 发表于 2009-8-26 09:43:12

確實是,通過努力使別人認為不可能的事情變成可能,很有成就感.

fixhdd · 发表于 2009-8-26 10:18:30

支持一下！谢谢

tclrz100e · 发表于 2009-8-26 11:09:21

LZ是幸运中的幸运儿！！因为LZ能把EFS加密的文件能解密成功，除了你的技术外，运气还要点很大的比例。因为EFS加密后重装系统，想解密重装系统前用EFS加密的文件，必须要找到原来的与EFS加密相关的4个信息：用户的SID；主密钥；公钥和私钥。LZ重做系统所用的镜像和原来所用的镜像相同，保证了用户的SID没有变化，LZ然后用软件找到了其它三个信息（LZ已描述，在此就不再细说），幸运的是三个信息在重装系统时都没有覆盖，所以说LZ是幸运中的幸运儿。如果这三个信息中任何一个信息在重装系统因覆盖而破坏，你是不可能恢复成功的。