1. WINDOWS自带的EFS加密非常强悍,如果某个用户把自己的登录帐户删除,同时他也没有备份证书,那么任何人将无法访问其EFS加密文件,连系统管理员都不行,发现以下技巧,或许还能拯救,注意本文仅适用于WINDOWS XP操作系统

2. 一般情况下,这些EFS加密文件已经被判了死刑,但是实际上满足以下条件的话,我们还是可以在末日到来之前打开逃生的天窗

3. 首先我用ADMINISTRATOR帐户新建一个名为USER1的用户

1. 然后以USER1帐户登录到PC

然后在桌面新建一个文本文件,内容为MY NAME IS LIUYONGXING!

然后对该文件加密

把该文件的名称改为110.txt

然后以系统管理员登录,看一下是否能打开110文件

结果不能访问

然后我们删掉USER1这个帐户

再用NET USER命令来查看一下,我们是否删除成功了?结果成功了!

然后我们必须另辟蹊径,让系统再造一个完全一样的SID!

再造SID,第一步,首先要确认被删除帐户的SID,这里可以进入以下文件夹C:\Documents and Settings\user1\Application Data\Microsoft\Credentials,在其下应该有一个以该被删除帐户的SID为名的文件夹,如下:

现在我们要设法让新建用户同样有1003的RID,这样就能达到目的

第二步,把PSTOOLS。ZIP压缩包复制到本机的桌面上

 

然后把它释放到桌面,然后安装psexec.exe

在命令提示符窗口中,运行psexec –I –d –s %windir%\regedit.exe命令,以SYSTEM帐户身份打开注册表编辑器(注意,PSEXEC你释放在哪里,你就在CMD中把目录切换到哪里,再运行以下命令!!)

1. 第三步,定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项,双击打开右侧的F键值

1. 第四步,这里要说明一下,WINDOWS是以十六进制,而且以反转形式保存下一个帐户的RID,这里对应的十六进制是03EB,但是我们必须把它反转过来变成EB03,再扩展4个字节。就是EB03 0000

2. 所以,我们就应该把F键值0048偏移量处,把其中四个字节改为EB03 0000

1. 然后确定

1. 第五步,重启计算机

1. 然后以系统管理员ADMINISTRATOR登录PC

1. 然后新建一人同名帐户USER1,它的SID应该和以前是完全一样的

1. 与以前的SID是一样的!以下是该用户以前的SID

1. 破解EFS

2. 接下来的方法就非常简单了,用新建的USER1帐户身份登录系统

1. 然后我们会在桌面看到刚才我们新建的那个文件

1. 然后双击打开它就行了!

到现在为止,大功造成!!!

本文出自 “sunflower” 博客,转载请与作者联系!