Windows XP系统EFS加密的文件数据恢复思路
深入剖析EFS
本文涉及大量图例,如有网友按照图例学习,实验,请使用“新建文件夹”和“新建文件”来实验,因为涉及数据加解密,有造成数据丢失的可能,小心。
一、名词解释
安全标识符(SID,“安全ID”):
是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时,windows系统将给每一个帐户发布一个唯一的 SID。Windows 中的内部进程通过帐户的 SID 而不是帐户的名字来区别账户。相当于人的身份证号码,一些严肃的场合,我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是,如果一个账户被错误删除了,即使重建一个相同名字的账户,其SID也和被删除账户的SID不同,对计算机来说,这仍然是两个不同的账户。
加密:
通过某个函数或方法对正常数据进行运算,使其看起来没有意义的过程。其反过程称为解密。
NTFS 文件系统:
一种高级文件系统,提供了性能、安全、可靠性以及未在任何 FAT 版本中出现的高级功能。例如,NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障,NTFS 将使用其日志文件和检查点信息来恢复文件系统的一致性。NTFS 还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩之类的高级功能。
EFS(encrypting file system,文件加密系统):
加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后,您还可以像使用其他文件和文件夹一样使用它们。
