EFS加密文件的解密

更新时间：2010.05.11

　　某用户笔记本电脑在C区安装Windows XP SP2系统，在D区和E区为NTFS文件系统，并存储大量的重要文档，为了安全考虑，把E盘中重要的一个文件夹进行了EFS加密，而没有对用户证书进行备份，后因系统感染病毒，运行缓慢，重新安装系统后，原来E区被加密的重要文件夹打不开，并提示"文件只读或被加密"，加密的文件夹名是“绿色”显示的。
　　出现这种问题的用户很普遍，从微软官方网站上得知，如果重装系统之前没有备份用户证书是不能恢复的。经过我们对EFS加密的分析，出现这种情况并不是无药可救，只要能从原系统分区（C区）中提取出重要的公钥及私钥，数据就还是有希望的。
　　只要在C区的密钥文件没有被真正覆盖，我们可以通过一些数据恢复软件找到，如果能找到主密钥、私钥及公钥，在系统中构建原用户，使系统自动实现解密。我们需要进行下列操作：
　　修改注册表中下一个用户ID，新建一与原用户名称、密码相同的用户ID;
　　修改注册表中机器ID为从原C 中提取出来的机器ID;
　　修改用户配置文件，即还原原来的主密钥、私钥及公钥。
　　再次打开原来的加密文件，自动解密成功！