單機的話XP預設是沒有DRA的...除非你有自己創立
EFS加密通常是用在企業伺服器比較多
跟ACL不同的地方
在於ACL仍然可以用Administrator權限
或是一些程式將權限移除掉來讀取檔案
而EFS用金鑰方式加密
除非有加密者的私人金鑰來解密
不然就算硬碟整個被偷走也解不出來
但是XP下實際上還是有一個EFS的小漏洞(應該也不算漏洞,條件非常嚴苛)
原因在於當初私人金鑰產生時會根據該帳號的SID來產生
所以如果你有辦法把你的帳號配置檔完整的救回
才有可能辦到這艱難的任務..
當然帳號是會認SID的(創帳號是隨機產生的)
所以就算你創一個相同的帳號密碼也沒用
具體做法是
1.先救回你的帳號配置檔 (重灌後基本上要救回機會渺茫)
2.到C:\Documents and Settings\帳號\Application Data\Microsoft\Crypto\RSA裡面會有個SID的資料夾,類似S-1-5-21-211020080-409546295-1876742944-3102這種檔名,3102就是你的RID。我們就是要把等等新創的帳號擁有3102這個RID,你創的時候才會是跟以前的帳號相同。WINDOWS中,下一個創立的帳號RID值是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account裡的F值來決定,在0048行的前四個字節就決定你下一個帳號的RID,而F值這裡面是做16進位的轉換並且反轉保存,所以3102轉為16進位變成0C1E,反轉後是1E0C,所以就是把0048中前4個字節改成1E 0C 00 00並存檔。
3.重新啟動電腦讓註冊表登錄進去
4.創一個跟你之前帳號名一樣的帳號(帳密也要一樣),並切換登錄後先加密一個檔案在取消掉讓他產生私鑰,然後換管理員把你之前救回的那整組帳號配置覆蓋到你新創的帳號裡(裡面還有當初負責加密的公開金鑰,解密時會讀取一些相關訊息,所以必須要覆蓋回去),覆蓋完成後再換帳號登入,順利的話已經可以解開以前的EFS加密了
一點資訊給你做參考,只是就像我開頭說的,你要先救回你的配置檔才有可能繼續了
EFS加密流程那些就不說了,因為說起來太過複雜,可以GOOGLE
內文搜尋
從 APP 打開
X