6,216
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
bernabeu1 2010-07-23
- 打赏
- 举报
怎么5楼没法查看了呢?
ljc007 2008-03-11
- 打赏
- 举报
[Quote=引用 10 楼 susuana 的回复:]
还是不行,我们公司的IT用5楼的方法试了还是不行。
[/Quote]
没别的办法了,下次小心吧。
还是不行,我们公司的IT用5楼的方法试了还是不行。
[/Quote]
没别的办法了,下次小心吧。
Mnky 2008-03-11
- 打赏
- 举报
如果我5楼的方法还不行。。。。那估计没戏了。。。。
susuana 2008-03-11
- 打赏
- 举报
是不是永远打不开了?
susuana 2008-03-11
- 打赏
- 举报
是不是永远打不开了?
susuana 2008-03-11
- 打赏
- 举报
还是不行,我们公司的IT用5楼的方法试了还是不行。
ljc007 2008-03-09
- 打赏
- 举报
5楼的方法真的可以创建RID相同的账户吗?楼主记得把测试结果贴出来哦^_^
YE0515 2008-03-07
- 打赏
- 举报
我估计楼主是fat32的分区格式,因该设计不到ntfs分区的加密问题!
所以,你就看证书有没有备份吧,否则!就别想了!
所以,你就看证书有没有备份吧,否则!就别想了!
susuana 2008-03-07
- 打赏
- 举报
我试试MNKY的方法。
susuana 2008-03-07
- 打赏
- 举报
谢谢以上的各位,事实上重装前后都是同一个用户名,因为我看到加密的方法就顺手加密了,然后文件夹变成了其它颜色。
后来系统有问题,别人拿去重装了以后就打不开那些文件了,文件都在,就是打不开。
证书应该是没有备份的。
后来系统有问题,别人拿去重装了以后就打不开那些文件了,文件都在,就是打不开。
证书应该是没有备份的。
Mnky 2008-03-06
- 打赏
- 举报
NTFS 分区内,在文件属性的高级选项中,可以选择将文件加密(EFS加密),加密后文件名显示为绿色。如果用户在没有导出该账户认证(certmgr.msc),就把自己的登录帐户删除,或者重装系统,那么原则上这些已加密的文件将无法被访问。但是如果满足一定的条件,那么还有可能对这些文件进行挽救。
EFS加密原理:
EFS加密综合了对称加密和不对称加密:
(1)随机生成一个文件加密密钥(叫做FEK),用来加密和解密文件。
(2)这个FEK会被当前帐户的公钥进行加密,加密后的FEK副本保存在文件$EFS属性的DDF字段里。
(3)要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK去解密文件。
系统还会对EFS添加两层保护措施:
(1)Windows会用64字节的主密钥(Master Key)对私钥进行加密,加密后的私钥保存在 %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 文件夹下;
(2)为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来),加密后的主密钥保存在 %UserProfile%\Application Data\Microsoft\Protect\SID 文件夹下。
注:再造相同的用户名和密码,生成的SID也会不同,因此无法通过重建用户信息而恢复。
从以上原理可以分析出,要挽救这些文件,需要满足两个条件:
(1)必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。
(2)该被删帐户的配置文件必须存在:加密后的私钥和主密钥(还包括证书和公钥),都保存在配置文件里。如果使用“本地用户和组”管理单元删除帐户,则配置文件保留的机会很大;如果使用“用户帐户”控制面板删除帐户,则有一半机会保留配置文件;如果配置文件不幸被删,则只能尝试借助数据恢复工具进行恢复。
恢复步骤:
假设被删除的用户名为 USER,那么 C:\Documents and Settings\USER\Application Data\Microsoft\Crypto\RSA 目录下应该有一个形如 S-1-5-21-4662660629-873921405-788003330-1004 的文件夹,其中1004就是RID。
以 System 权限(使用第三方软件)访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 项的 F 键值,在偏移量0048处的四个字节,定义系统下一个帐户的RID值,因此我们将改位置的值改为“EC 03 00 00”(1004的16进制值是03EC)。
重启后,新建一个同名帐户 USER,它的SID就和以前是完全一样的了。
之后用新建的 User 帐户身份登录系统,随便加密一个文件,然后注销,用管理员帐户登录系统,把原来保留的配置文件复制到 C:\Documents and Settings\Admin文件夹下,再用 USER 帐户登录系统,就可以解密原来的EFS文件了。
EFS加密原理:
EFS加密综合了对称加密和不对称加密:
(1)随机生成一个文件加密密钥(叫做FEK),用来加密和解密文件。
(2)这个FEK会被当前帐户的公钥进行加密,加密后的FEK副本保存在文件$EFS属性的DDF字段里。
(3)要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK去解密文件。
系统还会对EFS添加两层保护措施:
(1)Windows会用64字节的主密钥(Master Key)对私钥进行加密,加密后的私钥保存在 %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 文件夹下;
(2)为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来),加密后的主密钥保存在 %UserProfile%\Application Data\Microsoft\Protect\SID 文件夹下。
注:再造相同的用户名和密码,生成的SID也会不同,因此无法通过重建用户信息而恢复。
从以上原理可以分析出,要挽救这些文件,需要满足两个条件:
(1)必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。
(2)该被删帐户的配置文件必须存在:加密后的私钥和主密钥(还包括证书和公钥),都保存在配置文件里。如果使用“本地用户和组”管理单元删除帐户,则配置文件保留的机会很大;如果使用“用户帐户”控制面板删除帐户,则有一半机会保留配置文件;如果配置文件不幸被删,则只能尝试借助数据恢复工具进行恢复。
恢复步骤:
假设被删除的用户名为 USER,那么 C:\Documents and Settings\USER\Application Data\Microsoft\Crypto\RSA 目录下应该有一个形如 S-1-5-21-4662660629-873921405-788003330-1004 的文件夹,其中1004就是RID。
以 System 权限(使用第三方软件)访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 项的 F 键值,在偏移量0048处的四个字节,定义系统下一个帐户的RID值,因此我们将改位置的值改为“EC 03 00 00”(1004的16进制值是03EC)。
重启后,新建一个同名帐户 USER,它的SID就和以前是完全一样的了。
之后用新建的 User 帐户身份登录系统,随便加密一个文件,然后注销,用管理员帐户登录系统,把原来保留的配置文件复制到 C:\Documents and Settings\Admin文件夹下,再用 USER 帐户登录系统,就可以解密原来的EFS文件了。
zipall 2008-03-06
- 打赏
- 举报
如果楼主的文件所在磁盘使用了NTFS格式,并使用了系统自带的EFS加密。
那么1、2楼的是正解。
3楼的应该和本问题无关。
那么1、2楼的是正解。
3楼的应该和本问题无关。
blackfox0322 2008-03-06
- 打赏
- 举报
找到的一篇,希望能给你一定的帮助
===========================
一大早,笔者打开办公室电脑,顿时傻眼了。除C盘外的其它磁盘里的所有文件夹及文件全都不见了,每个磁盘中只留下一个“磁盘加密王”和一个“技术支持”的文本文档(图1)。但笔者从未用过“磁盘加密王”这个软件,也没有将电脑交给其他人使用,这究竟是怎么回事呢?双击F盘中的“磁盘加密王”,弹出“移动解密”对话框,提示需要密码才能完全解密。打开磁盘中的“技术支持”文本文件,发现文档中留下了一个QQ号,与其联系,告知要想解密需交人民币三百元。笔者的电脑几天前刚安装了正版Windows XP SP2和瑞星2006杀毒软件,使用的是Windows XP系统自带的防火墙,没想到昨天在上网时还是被黑客无声无息地入侵了。
问题分析
针对这个情况,笔者首先查看了被加密的几个磁盘空间,发现磁盘空间与加密前相比并没有减少。笔者确认磁盘数据并没有丢失,但被别有用心的人用软件加密了。笔者启动瑞星2006查杀病毒,没有发现病毒,在用瑞星2006扫描D和E盘时,都扫描到了笔者保存在磁盘中的文件夹和文件,只不过它们都保存在一个名为“Thumbs.dn”的文件夹中。但从“我的电脑”打开相应的磁盘却无法查看到这个文件夹,因此无法获取存放在磁盘中的资料。
笔者以前曾用WinRAR查看过隐藏在磁盘中的文件夹和文件。能不能通过WinRAR找到隐藏的“Thumbs.dn”文件夹呢?笔者打开WinRAR,利用“文件”菜单中的“改变驱动器”切换至F盘。在WinRAR主窗口中,F盘中包括“Thumbs.dn”在内的所有隐藏对象都显示出来了(图2)。
通过查找相关资料获悉,“磁盘加密王”实际是一款名为“高强度文件夹加密大师”磁盘加密软件。它不受系统影响,没有解密密码即使系统重装、Ghost还原,数据也依然加密。所以,没有密码一般不易破解。
加密原理
经过笔者的分析,“高强度文件夹加密大师”对文件夹及文件加密时,实质是对文件夹和文件的名称进行了加密处理,文件夹和文件本身内容并没有改变。
对文件夹进行加密时,软件对加密路径下的所有文件夹进行了改名处理,将原来的文件夹名称为以数字“1~m”(m个文件夹)为序重新命名,并在每个文件夹的数字名称后加上代码“.”。此代码是打印机系统文件夹的代码,因此,解密文件夹时必须要将此代码删除,否则得到的就是打印机的图标(图3)。
对文件的加密,软件同样是以数字为序对文件名采取了改名处理,将所有文件名主名改名为“1~n”(n个文件),扩展名改为“.mem”。
在“Thumbs.dn”文件夹中,有两个文件值得我们注意,即“117789687”和“117789687list.mem”,这两个文件存放的是密码相关信息。其中,“117789687list.mem”文件存放的是加密前文件夹及文件的名称数据及与加密后文件夹和文件名称对应关系等信息。不过,软件开发者已经对这两个文件的数据进行了算法处理,没有软件开发者提供的密码表,我们无法获取密码信息。另外,在“%systemroot%\\system32\\”下有这样一个文件“danine.dll”,它记录了软件目前已经加密了哪些磁盘和文件夹信息,用“记事本”可以直接打开查看。
解密文件夹
打开WinRAR,依次单击“文件→改变驱动器→F”,切换至需要解密的磁盘。在WinRAR主窗口中,双击“Thumbs.dn”,打开该文件夹。此文件夹中,我们发现保存在F盘上的所有文件夹。将每个文件夹名称数字序号后的“.”代码删除。然后,选中所有文件夹,单击工具栏中的“添加”按钮,将这些文件夹压缩成一个文件存放至E盘。最后,解压此压缩文件即得到所有存放在F盘中的文件夹及保存在文件夹中的文件。
解密文件
解密存放在磁盘根目录下的文件,我们要判断文件是否为RAR类型的文件,分两种情况进行。
1.RAR类型的文件
这类文件,我们只要直接选中它,单击工具栏中的“解压至”,然后选择文件解压存放的路径,将文件直接解压,实现解密。
2.非RAR类型的文件
对这类文件解密起来麻烦一些。首先,根据文件长度回忆原文件的类型。如果实在想不起来,你可以试试“文件夹嗅探器”,嗅探根目录下的所有“.mem”文件,单击工具栏中的测试文件类型工具,测试得出该文件的类型。然后,打开WinRAR,将该文件名的扩展名“.mem”改为原文件类型的扩展名。最后,用工具栏中的“添加”按钮,将此文件压缩打包存放至合适的位置,再解包得到原文件。
===========================
一大早,笔者打开办公室电脑,顿时傻眼了。除C盘外的其它磁盘里的所有文件夹及文件全都不见了,每个磁盘中只留下一个“磁盘加密王”和一个“技术支持”的文本文档(图1)。但笔者从未用过“磁盘加密王”这个软件,也没有将电脑交给其他人使用,这究竟是怎么回事呢?双击F盘中的“磁盘加密王”,弹出“移动解密”对话框,提示需要密码才能完全解密。打开磁盘中的“技术支持”文本文件,发现文档中留下了一个QQ号,与其联系,告知要想解密需交人民币三百元。笔者的电脑几天前刚安装了正版Windows XP SP2和瑞星2006杀毒软件,使用的是Windows XP系统自带的防火墙,没想到昨天在上网时还是被黑客无声无息地入侵了。
问题分析
针对这个情况,笔者首先查看了被加密的几个磁盘空间,发现磁盘空间与加密前相比并没有减少。笔者确认磁盘数据并没有丢失,但被别有用心的人用软件加密了。笔者启动瑞星2006查杀病毒,没有发现病毒,在用瑞星2006扫描D和E盘时,都扫描到了笔者保存在磁盘中的文件夹和文件,只不过它们都保存在一个名为“Thumbs.dn”的文件夹中。但从“我的电脑”打开相应的磁盘却无法查看到这个文件夹,因此无法获取存放在磁盘中的资料。
笔者以前曾用WinRAR查看过隐藏在磁盘中的文件夹和文件。能不能通过WinRAR找到隐藏的“Thumbs.dn”文件夹呢?笔者打开WinRAR,利用“文件”菜单中的“改变驱动器”切换至F盘。在WinRAR主窗口中,F盘中包括“Thumbs.dn”在内的所有隐藏对象都显示出来了(图2)。
通过查找相关资料获悉,“磁盘加密王”实际是一款名为“高强度文件夹加密大师”磁盘加密软件。它不受系统影响,没有解密密码即使系统重装、Ghost还原,数据也依然加密。所以,没有密码一般不易破解。
加密原理
经过笔者的分析,“高强度文件夹加密大师”对文件夹及文件加密时,实质是对文件夹和文件的名称进行了加密处理,文件夹和文件本身内容并没有改变。
对文件夹进行加密时,软件对加密路径下的所有文件夹进行了改名处理,将原来的文件夹名称为以数字“1~m”(m个文件夹)为序重新命名,并在每个文件夹的数字名称后加上代码“.”。此代码是打印机系统文件夹的代码,因此,解密文件夹时必须要将此代码删除,否则得到的就是打印机的图标(图3)。
对文件的加密,软件同样是以数字为序对文件名采取了改名处理,将所有文件名主名改名为“1~n”(n个文件),扩展名改为“.mem”。
在“Thumbs.dn”文件夹中,有两个文件值得我们注意,即“117789687”和“117789687list.mem”,这两个文件存放的是密码相关信息。其中,“117789687list.mem”文件存放的是加密前文件夹及文件的名称数据及与加密后文件夹和文件名称对应关系等信息。不过,软件开发者已经对这两个文件的数据进行了算法处理,没有软件开发者提供的密码表,我们无法获取密码信息。另外,在“%systemroot%\\system32\\”下有这样一个文件“danine.dll”,它记录了软件目前已经加密了哪些磁盘和文件夹信息,用“记事本”可以直接打开查看。
解密文件夹
打开WinRAR,依次单击“文件→改变驱动器→F”,切换至需要解密的磁盘。在WinRAR主窗口中,双击“Thumbs.dn”,打开该文件夹。此文件夹中,我们发现保存在F盘上的所有文件夹。将每个文件夹名称数字序号后的“.”代码删除。然后,选中所有文件夹,单击工具栏中的“添加”按钮,将这些文件夹压缩成一个文件存放至E盘。最后,解压此压缩文件即得到所有存放在F盘中的文件夹及保存在文件夹中的文件。
解密文件
解密存放在磁盘根目录下的文件,我们要判断文件是否为RAR类型的文件,分两种情况进行。
1.RAR类型的文件
这类文件,我们只要直接选中它,单击工具栏中的“解压至”,然后选择文件解压存放的路径,将文件直接解压,实现解密。
2.非RAR类型的文件
对这类文件解密起来麻烦一些。首先,根据文件长度回忆原文件的类型。如果实在想不起来,你可以试试“文件夹嗅探器”,嗅探根目录下的所有“.mem”文件,单击工具栏中的测试文件类型工具,测试得出该文件的类型。然后,打开WinRAR,将该文件名的扩展名“.mem”改为原文件类型的扩展名。最后,用工具栏中的“添加”按钮,将此文件压缩打包存放至合适的位置,再解包得到原文件。
ljc007 2008-03-05
- 打赏
- 举报
如果之前的系统分区没有被格式化,可以试试这个软件:Advanced EFS Data Recovery
否则,就只能节哀了。
下次记得备份证书:
运行mmc打开微软管理控制台
下拉文件菜单选择"添加/删除模块"
添加"证书"后关闭
然后在证书里面找到"加密和故障恢复代理"
找到证书->右键->所有任务->导出证书并备份就可以了
否则,就只能节哀了。
下次记得备份证书:
运行mmc打开微软管理控制台
下拉文件菜单选择"添加/删除模块"
添加"证书"后关闭
然后在证书里面找到"加密和故障恢复代理"
找到证书->右键->所有任务->导出证书并备份就可以了
cancin 2008-03-05
- 打赏
- 举报
不能
重装前有同有备份系统啊..不然的话后果很严重
试试网上的EFS解密的方法,不过我没有试过
重装前有同有备份系统啊..不然的话后果很严重
试试网上的EFS解密的方法,不过我没有试过
