Question

我的E盘是ntfs格式的，启用了efs加密。昨天重装了系统，之前忘了解密，现在打不开文件了，一年成果全泡汤

希望得到一些给力的答案！诚谢！
没做ghost备份

初步的思路是 把帐号和密码设的和原来一样 然后更改SID

现在的问题就是 能不能把SID改成我指定的特定的某个值-----就是之前那个账号的SID

如果这样不能解决问题，请高手指点个更好的方法！

Answer 1

efs采用公钥体系加密。如果要对EFS进行解密必须要一下满足以下两点：

（1）必须知道该被删帐户的密码：没有帐户密码，就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。

（2）该被删帐户的配置文件必须存在：加密后的私钥和主密钥(还包括证书和公钥)，都保存在配置文件里，所以配置文件万万不可丢失，否则就会彻底任务失败。

如果以上两个条件满足，那么先从旧的配置文件里面获得被删帐户的SID（在配置文件目录\Application Data\Microsoft\Crypto\RSA 下有一个以该帐户的SID为名的文件夹，例如是S-1-5-21-1214440339-1078145449-1343024091-1004），然后新建一个用户，用newsid工具把SID改的和原来一样，然后用新用户登录，随便加密一个文件，再注销，把旧的配置文件覆盖新用户的配置文件，再用新用户登录进去就可以解密其它文件了。

如果无法满足条件，就不用再浪费时间了。

追问

new SID 这个工具不好使啊 我输完一个数（结尾是500）之后 一路下一步 到最后 完全变了一个数（结尾是一个五位数了）

追答

newsid我用着没什么问题，你不行那就用手动方式吧：
以刚才那个SID为例，最后的1004为RID，就是要设法让新建的帐户还是这个RID，前面的只要帐户名称相同就相同。

在Windows中，下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项的F键值所确定的。F键值是二进制类型的数据，在偏移量0048处的四个字节，定义下一个帐户的RID。那么也就是说，只需要修改0048处的四个字节，就能达到目的(让新建帐户获得1004的RID)！

默认情况下，只有system帐户才有权限访问HKEY_LOCAL_MACHINE\SAM，这里在CMD命令提示符窗口，运行以下命令，以system帐户身份打开注册表编辑器：
psexec -i -d -s %windir%\regedit.exe

定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项，双击打开右侧的F键值。

这里要说明一下，Windows是以十六进制、而且以反转形式保存下一个帐户的RID。什么意思呢？也就是说，如果是1004的RID，对应十六进制就是 03EC，但是我们必须把它反转过来变成EC03，再扩展为4个字节，就是EC 03 00 00。所以，我们应该把F键值的0048偏移量处，把其中四个字节改为“EC 03 00 00”。

重启计算机！重启以后，新建一个同名帐户，它的SID应该和以前是完全一样，可以借助GetSID或者PsGetSID等工具测试一下。

追问

是这么回事 我以前的用户名是Administrator现在还得再新建一个账户 才能得到新设定的sid

但是 在现有的情况下 是不可能见一个拥护叫administrator的

追答

用户SID是由计算机SID+RID组成。newsid工具是用来修改计算机SID的，你先用它把计算机SID改成原来的，然后再用上面的手工方式使得RID也和原来一样，再创建一个用户试试看？原理上说和用户名应该没什么联系，我前面的回答这里有误。

追问

不试了 放弃了 看了那么多人 都说没救了

Answer 2

这个可能不行的。它是使用的数字证书的公匙加密的。必须要证书的私匙才能解密，按照你的讲法，你是没有备份过证书。数据室基本上不可能恢复了。这是我的理解。。。。。数字证书是1024位的加密方式，破解对平民是不可能的。。。。希望不要对楼主打击太大。。。。。。

追问

血的教训就是 不要加密 千万不要加密

又不是陈老师的照片 至于加密吗

追答

不是不要加密啦，是加密的时候一定要知道加密的原来，解密的方法和原理，出了问题才知道怎么处理啊。这个可真是血的教训。重要的东西一般不大，可以备份在网盘里，邮箱里也行，多放几份也不要紧，担心网上也不安全，那就先用数字证书价格密再传上去，基本上可以高枕无忧了。不过证书啊，一定要保存好的。不然就大件事情了。。。。。。真是血的教训啊~~~~

Answer 3

如果没有备份加密证书，基本上可以宣布没救了

你以后加密数据，建议使用文件夹加密超级大师。

Answer 4

没救了