2024年4月7日发(作者:)

具体步骤:

(1)把新系统进行GHOST备份。

(2)找一张DOS下的支持NTFS 的EasyRecovery光盘,使用EasyRecovery 找回

账户配置文件(具体能不能找回该配置文件,就要看大家的运气了,还好我的运气不错,找

到了)。然后把找到的用户配置文件另存到D盘。(如图1)

(3)还原第一步做的GHOST的备份,进入系统,找到刚刚我们恢复的账户配置文件,

(4)再造SID,首先确认帐户的SID,这里可以进入以下文件夹:D:华港用户

Application DataMicrosoftCryptoRSA在其下应该有一个以该帐户的SID为名的文件

夹,例如是S-1-5-21-12144449-1343024091-1004(RID为1004)现在

我们要设法让新建帐户同样具有1004的RID,这样就能达到目的。如图2

在Windows中,下一个新建帐户所分配的RID是由

HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项的F键值所确定的。F

键值是二进制类型的数据,在偏移量0048处的四个字节,定义下一个帐户的RID。那么也

就是说,只需要修改0048处的四个字节,就能达到目的(让新建帐户获得1004的RID)!

默认情况下,只有system帐户才有权限访问HKEY_LOCAL_MACHINESAM,这里

在CMD命令提示符窗口,运行以下命令,以system帐户身份打开注册表编辑器:

psexec -i -d -s %windir% (如图3)

(5)定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项,双

击打开右侧的F键值。

(6)这里要说明一下,Windows是以十六进制、而且以反转形式保存下一个帐户的

RID。什么意思呢?也就是说,如果是1004的RID,对应十六进制就是03EC,但是我们

必须把它反转过来变成EC03,再扩展为4个字节,就是EC 03 00 00。所以,我们应该把

F键值的0048偏移量处,把其中四个字节改为“EC 03 00 00”。(如图4)

(7)重启计算机!重启以后,新建一个同名帐户“华港用户”,它的SID应该和以前

是完全一样。如果不相信的话,可以借助GetSID或者PsGetSID等工具测试一下。

(8)接下来的就非常简单了,用新建的“华港用户”帐户身份登录系统,随便加密一

个文件,然后注销,用管理员帐户登录系统,把原来保留的配置文件覆盖

到”C:Documents and Settings华港用户“文件夹。再用”华港用户“帐户登录系统,

现在可以解密原来的EFS文件了。