EFS“解密”详解
2020-09-14 23:00:08
, 可查看原硬盘中的任意文件看看是否有未知用户 如图:, 
, 例如私钥为 S-1-5-21-789336058-1123561945-1606980848-1005 , SID前面部份,后面部份1005是RID, , ⑤、构造SID, 适用XP,Win7以上系统可联系本站有偿解决, 这里我们用微软提供的一个小工具来改变SID,工具的名称叫做Newsid。程序之后,先同意协议,, 然后一路下一步直到”Choose a SID”; 这里选择”Specify”下面输入需要修改的SID,之后, 继续”Next”,完成之后自动重启系统,SID就修改好了。, 提醒一下,如果只是删除了用户而不是重装系统的话,可以跳过这一步,因为SID本来就是一样的。, Newsid 下载, , 修改RID值以备新建用户使用(如果原先系统用的就是内置Administrator用户,则忽略此步), 这里我们使用微软提供的psexec工具,在开始菜单的运行中输入cmd命令并回车,打开命令提示符窗口。, 之后使用CD命令定位到psexec所在的目录执行psexec -i -d -s %windir%regedit.exe这样的命令以system用户身份运行, 注册表编辑器。 定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount,找到并打开F键值。, 假如我们要修改的RID是1005,1005转换为16进制是03ED,翻转过来就是ED03。数据的进制转换可以使用Windows自动, 的”计算器”转换; 如果转换出来的数据是3位数例如3ED,则需要在前面补一个0变成4位数03ED。找到对应的0048偏移, 量,把数值修改为我们上面推算出来的数值。, psexec下载, 如图:, 
, , ⑥、最后操作, 如果原本就是管理员账户Administrator:管理员账户登录→把恢复出来的文件复制到对应文件夹,完成。其它用户:新建原用户登录系统→把恢复出来的文件复制到对应文件夹,完成。,
