1. WINDOWS自帶的EFS加密非常強悍,如果某個使用者把自己的登入帳戶删除,同時他也沒有備份證書,那麼任何人将無法通路其EFS加密檔案,連系統管理者都不行,發現以下技巧,或許還能拯救,注意本文僅适用于WINDOWS XP作業系統
2. 一般情況下,這些EFS加密檔案已經被判了死刑,但是實際上滿足以下條件的話,我們還是可以在末日到來之前打開逃生的天窗
3. 首先我用ADMINISTRATOR帳戶建立一個名為USER1的使用者
1. 然後以USER1帳戶登入到PC
然後在桌面建立一個文本檔案,内容為MY NAME IS LIUYONGXING!
然後對該檔案加密
把該檔案的名稱改為110.txt
然後以系統管理者登入,看一下是否能打開110檔案
結果不能通路
然後我們删掉USER1這個帳戶
再用NET USER指令來檢視一下,我們是否删除成功了?結果成功了!
然後我們必須另辟蹊徑,讓系統再造一個完全一樣的SID!
再造SID,第一步,首先要确認被删除帳戶的SID,這裡可以進入以下檔案夾C:\Documents and Settings\user1\Application Data\Microsoft\Credentials,在其下應該有一個以該被删除帳戶的SID為名的檔案夾,如下:
現在我們要設法讓建立使用者同樣有1003的RID,這樣就能達到目的
第二步,把PSTOOLS。ZIP壓縮包複制到本機的桌面上
然後把它釋放到桌面,然後安裝psexec.exe
在指令提示符視窗中,運作psexec –I –d –s %windir%\regedit.exe指令,以SYSTEM帳戶身份打開系統資料庫編輯器(注意,PSEXEC你釋放在哪裡,你就在CMD中把目錄切換到哪裡,再運作以下指令!!)
1. 第三步,定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account系統資料庫項,輕按兩下打開右側的F鍵值
1. 第四步,這裡要說明一下,WINDOWS是以十六進制,而且以反轉形式儲存下一個帳戶的RID,這裡對應的十六進制是03EB,但是我們必須把它反轉過來變成EB03,再擴充4個位元組。就是EB03 0000
2. 是以,我們就應該把F鍵值0048偏移量處,把其中四個位元組改為EB03 0000
1. 然後确定
1. 第五步,重新開機計算機
1. 然後以系統管理者ADMINISTRATOR登入PC
1. 然後建立一人同名帳戶USER1,它的SID應該和以前是完全一樣的
1. 與以前的SID是一樣的!以下是該使用者以前的SID
1. 破解EFS
2. 接下來的方法就非常簡單了,用建立的USER1帳戶身份登入系統
1. 然後我們會在桌面看到剛才我們建立的那個檔案
1. 然後輕按兩下打開它就行了!