Windows XP系统EFS加密的文件数据恢复思路

深入剖析EFS

cW+tI@s+uX:Wa0本文涉及大量图例，如有网友按照图例学习，实验，请使用“新建文件夹”和“新建文件”来实验，因为涉及数据加解密，有造成数据丢失的可能，小心。中国数据恢复技术联盟Cb{A6h-T+JFx~
一、名词解释中国数据恢复技术联盟-Gp)kSqq
安全标识符（SID，“安全ID”）：
EXSJ&qw!P0是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时，windows系统将给每一个帐户发布一个唯一的 SID。Windows 中的内部进程通过帐户的 SID 而不是帐户的名字来区别账户。相当于人的身份证号码，一些严肃的场合，我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是，如果一个账户被错误删除了，即使重建一个相同名字的账户，其SID也和被删除账户的SID不同，对计算机来说，这仍然是两个不同的账户。
m+tPC,Dj vd`0加密：中国数据恢复技术联盟Dy5M?/]t}AL
通过某个函数或方法对正常数据进行运算，使其看起来没有意义的过程。其反过程称为解密。中国数据恢复技术联盟'{2a/M%M'~n4^"~
NTFS 文件系统：
9I(Rn/H#]0一种高级文件系统，提供了性能、安全、可靠性以及未在任何 FAT 版本中出现的高级功能。例如，NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS 将使用其日志文件和检查点信息来恢复文件系统的一致性。NTFS 还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩之类的高级功能。
g;cg E%e1yi1F0EFS（encrypting file system，文件加密系统）：中国数据恢复技术联盟xJ? k[+Jp&K
加密文件系统 (EFS) 提供一种核心文件加密技术，该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后，您还可以像使用其他文件和文件夹一样使用它们。中国数据恢复技术联盟 S\I9f.a
S

,V6uV}
B]0中国数据恢复技术联盟{mo5VY?V