在Windows作業系統下,EFS加密過的檔名稱為綠色的。如果使用者重新安裝作業系統前沒有備份證書或沒有對加密資料進行解密,重灌系統後,原證書很可能被完全覆蓋而丟失,在這種情況下,加密的資料不可能被強制解密,這些資料也就永久丟失了,即使專業資料恢復公司也無能為力。
如果有證書,恢復證書(私鑰)的時候,雙擊備份或匯出來的證書檔案,輸入之前設定的密碼按嚮導匯入就可以了。
證書如果沒被覆蓋,使用者名稱Administrator為例
恢復的關鍵有三點:(建議在恢復過程中嘗試把所有的使用者資料夾C:\Documents and Settings\Administrator\Application Data裡的東西全部恢復出來.)
第一、獲得公鑰和公鑰證書、私鑰儲存的檔案、主金鑰檔案;.
第二、知道原來使用者的密碼和使用者名稱;
第三點、知道原來使用者的SID+RID
私鑰儲存在
C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
公鑰和公鑰證書儲存在
C:\Documents and Settings\Administrator\ApplicationData\Microsoft\SystemCertificates\My\Certificates
加密後的主金鑰儲存在
C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect
找回關鍵的檔案和資料夾
知道加密的檔案不能開啟之後,應該馬上關機,然後進入PE環境。在這個環境裡使用資料恢復工具把需要的檔案給找回來。
在Windows作業系統下,EFS加密過的檔名稱為綠色的。如果使用者重新安裝作業系統前沒有備份證書或沒有對加密資料進行解密,重灌系統後,原證書很可能被完全覆蓋而丟失,在這種情況下,加密的資料不可能被強制解密,這些資料也就永久丟失了,即使專業資料恢復公司也無能為力。
如果有證書,恢復證書(私鑰)的時候,雙擊備份或匯出來的證書檔案,輸入之前設定的密碼按嚮導匯入就可以了。
證書如果沒被覆蓋,使用者名稱Administrator為例
恢復的關鍵有三點:(建議在恢復過程中嘗試把所有的使用者資料夾C:\Documents and Settings\Administrator\Application Data裡的東西全部恢復出來.)
第一、獲得公鑰和公鑰證書、私鑰儲存的檔案、主金鑰檔案;.
第二、知道原來使用者的密碼和使用者名稱;
第三點、知道原來使用者的SID+RID
私鑰儲存在
C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
公鑰和公鑰證書儲存在
C:\Documents and Settings\Administrator\ApplicationData\Microsoft\SystemCertificates\My\Certificates
加密後的主金鑰儲存在
C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect
找回關鍵的檔案和資料夾
知道加密的檔案不能開啟之後,應該馬上關機,然後進入PE環境。在這個環境裡使用資料恢復工具把需要的檔案給找回來。