Восстановление EFS из резервных копий файлов реестра?

3843
Joel Harris

Вот что у меня есть:

  • Резервное копирование зашифрованных файлов
  • Резервные копии файлов реестра (ntuser.dat)
  • пароль

Исходная ОС (Windows XP), на которой размещены зашифрованные файлы EFS, исчезла. У меня нет файла резервной копии ключа.

Можно ли восстановить зашифрованные файлы с настоящими элементами?

Редактировать: я пробовал aefsdr от elcomsoft, но я не видел способа направить его для использования файла реестра. Кроме того, он не нашел зашифрованных файлов, возможно, потому что атрибуты, которые их идентифицируют, отсутствуют.

4
Был ли компьютер членом домена? Если это так, сертификат агента восстановления находится на контроллере домена. Scott McClenning 14 лет назад 0
Он не был членом домена. Спасибо за ваш вклад, Скотт. Joel Harris 14 лет назад 0
Я искал, где Windows хранит сертификаты EFS, но я думаю, что у вас его нет. Я прочитал, что ntuser.dat имеет отпечаток пальца к сертификатам, но не фактические сертификаты. Я слышал о людях, пытающихся обмануть сертификаты, но вы, вероятно, можете догадаться, сколько времени это займет. Извините и удачи. Scott McClenning 14 лет назад 0

1 ответ на вопрос

1
Monban

The EFS certificate files can be found in "%userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates". If you have the Documents and Settings directory from the old machine, you have a backup of the certificates. They are stored each in one file, named by thumbprint, with no extension.

In my quick test here, I was able to move them out, verify that the EFS certificate was gone and EFS files were not accessible, then move them back in on the same machine and had luck. Whether this will work between two machines I have not tested yet. I do not know what format these certificates are stored in.

As an aside, you can also use cert:\CurrentUser\My under Powershell, but that requires a live system, so probably is not relevant to your current question.

Похожие вопросы