1. WINDOWS自帶的EFS加密非常強悍，如果某個使用者把自己的登入帳戶刪除，同時他也沒有備份證書，那麼任何人將無法訪問其EFS加密檔案，連繫統管理員都不行，發現以下技巧，或許還能拯救，注意本文僅適用於WINDOWS XP作業系統

2. 一般情況下，這些EFS加密檔案已經被判了死刑，但是實際上滿足以下條件的話，我們還是可以在末日到來之前開啟逃生的天窗

3. 首先我用ADMINISTRATOR帳戶新建一個名為USER1的使用者

1. 然後以USER1帳戶登入到PC

然後在桌面新建一個文字檔案，內容為MY NAME IS LIUYONGXING！

然後對該檔案加密

把該檔案的名稱改為110.txt

然後以系統管理員登入，看一下是否能開啟110檔案

結果不能訪問

然後我們刪掉USER1這個帳戶

再用NET USER命令來檢視一下，我們是否刪除成功了？結果成功了！

然後我們必須另闢蹊徑，讓系統再造一個完全一樣的SID！

再造SID，第一步，首先要確認被刪除帳戶的SID，這裡可以進入以下資料夾C:\Documents and Settings\user1\Application Data\Microsoft\Credentials，在其下應該有一個以該被刪除帳戶的SID為名的資料夾，如下：

現在我們要設法讓新建使用者同樣有1003的RID，這樣就能達到目的

第二步，把PSTOOLS。ZIP壓縮包複製到本機的桌面上

然後把它釋放到桌面，然後安裝psexec.exe

在命令提示符視窗中，執行psexec –I –d –s %windir%\regedit.exe命令，以SYSTEM帳戶身份開啟登錄檔編輯器（注意，PSEXEC你釋放在哪裡，你就在CMD中把目錄切換到哪裡，再執行以下命令！！）

1. 第三步，定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account登錄檔項，雙擊開啟右側的F鍵值

1. 第四步，這裡要說明一下，WINDOWS是以十六進位制，而且以反轉形式儲存下一個帳戶的RID，這裡對應的十六進位制是03EB，但是我們必須把它反轉過來變成EB03，再擴充套件4個位元組。就是EB03 0000

2. 所以，我們就應該把F鍵值0048偏移量處，把其中四個位元組改為EB03 0000

1. 然後確定

1. 第五步，重啟計算機

1. 然後以系統管理員ADMINISTRATOR登入PC

1. 然後新建一人同名帳戶USER1，它的SID應該和以前是完全一樣的

1. 與以前的SID是一樣的！以下是該使用者以前的SID

1. 破解EFS

2. 接下來的方法就非常簡單了，用新建的USER1帳戶身份登入系統

1. 然後我們會在桌面看到剛才我們新建的那個檔案

1. 然後雙擊開啟它就行了！

到現在為止，大功造成！！！

本文出自 “sunflower” 部落格，轉載請與作者聯絡！

轉載於:https://blog.51cto.com/lzy821218/282089