现象描述：在Windows XP Professional单机环境中，客户将D盘里面的文件夹（d:\论文）进行了efs加密。事先发现系统感染病毒.运行缓慢。于是请技术员前来重装系统，由于技术员没有留意客户对文件进行过efs加密。客户之前也没有导出EFS证书和私钥，待系统安装完毕后，发现EFS加密文件就不属于他了。如下图所示：

    流行方法不可靠：在没有备份密钥的情况下，要对EFS文件解密几乎是不可能的，虽然网上流行很多种解决方法，但是可行性微乎其微，劝大家放弃。因为某些EFS使用的是公钥证书对文件加密，而且在Windows 2000/XP/2003中，每一个用户都使用了惟一的SID（安全标志）。第一次加密文件夹时，系统会根据加密者的SID生成该用户的密钥，并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份，那就意味着无论如何都不可能生成此前的用户密钥，而解密文件不仅需要公钥，还需要密码，所以也就根本不能打开此前EFS加密过的文件夹。
拓飞处理方法：经过对底层数据的分析，搜索密钥残余信息。组合原用户配置信息。
1. 将加密过的文件转换成二进制流，算出公钥的文件名.
2. 根据二进制流分析私钥信息，从中可以获取私钥部分信息以及文件参数。
3. 分析加密文件里面的十六进制流，转换成credhist文件。
4. 匹配加密前后的信息，算出密钥的前20位。
5. 再造私钥，公钥，个人登录信息库，信任文件等。以原来身份登录。Efs破解完成。 　
拓飞专业为您提供更快、更好的数据恢复服务！欢迎电话咨询！020-38867762