? ?北京一用戶，原系統(tǒng)分為3個(gè)區(qū)，C盤安裝WINDOWS XP SP2,D及E盤為用戶重要數(shù)據(jù)區(qū)，其中D盤有用戶特別重要的幾個(gè)文件，當(dāng)初為安全性考慮，設(shè)置了NTFS的EFS加密，后系統(tǒng)運(yùn)行緩慢，重裝系統(tǒng)。
??? 系統(tǒng)重裝后，再次打開(kāi)D盤的那幾個(gè)加密文件（DOC）時(shí)，提示"文件只讀或被加密"，無(wú)法打開(kāi)。
??? 這種問(wèn)題很普遍，之前有很多用戶因此操作導(dǎo)致數(shù)據(jù)丟失，造成巨大損失。但這種情況卻并不是一定無(wú)藥可救的。只要能從原C（原系統(tǒng)分區(qū)）中提取出重要的公鑰及私鑰（重點(diǎn)是私鑰），數(shù)據(jù)就還是有希望的。
??? 上述案例，重點(diǎn)在于，重裝系統(tǒng)導(dǎo)致
??? 1、用用戶密碼加密的主密鑰?
??? 2、用主密鑰加密的私鑰?
??? 3、最初給文件加密時(shí)用的公鑰
??? 這三部分無(wú)法直接看到。而加密文件本身存儲(chǔ)的兩個(gè)數(shù)據(jù)流：密文及用公鑰加密后的文件加密密鑰（FEK），這兩個(gè)數(shù)據(jù)流只要D盤的文件系統(tǒng)沒(méi)問(wèn)題，便不會(huì)丟失。所以只要想辦法找到上述丟失的三個(gè)密鑰，一層層解出私鑰，再用私鑰解密FEK，最終解密密文，數(shù)據(jù)但可以還原出來(lái)。
??? C盤已經(jīng)被重新安裝過(guò)，所以之前的文件不一定還存在，這是是否可以成功解密EFS文件的一個(gè)關(guān)鍵點(diǎn)。此例中，通過(guò)對(duì)C盤文件系統(tǒng)的分析，成功解出原先丟失的三個(gè)密鑰。
??? 接下來(lái)，需要在系統(tǒng)中構(gòu)建原用戶，使系統(tǒng)自動(dòng)實(shí)現(xiàn)解密。
??? 修改注冊(cè)表中下一個(gè)用戶ID，新建一與原用戶名稱、密碼相同的用戶ID;
??? 修改注冊(cè)表中機(jī)器ID為從原C 中提取出來(lái)的機(jī)器ID;
??? 修改用戶配置文件，即還原原來(lái)的主密鑰、私鑰及公鑰。
??? 再次打開(kāi)原來(lái)的加密文件，自動(dòng)解密成功！




本文轉(zhuǎn)自 張宇 51CTO博客，原文鏈接：http://blog.51cto.com/zhangyu/33776，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的WINDOWS XP SP2 NTFS EFS加密文件的解密案例的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。