硬盘数据恢复硬盘电路板损坏恢复方案硬盘电机损坏解决方案开盘数据恢复硬盘磁头坏开盘恢复方案硬盘坏道故障数据恢复硬盘固件区损坏恢复方案硬盘数据恢复固态硬盘数据恢复固态硬盘恢复U盘存储卡恢复方案存储卡数据恢复方案U盘/存储卡恢复勒索病毒解决方案中招勒索病毒的应急处理中勒索病毒文件被加密,数据如何恢复?病毒恢复-常见病毒EFS加密文件恢复方案病毒解密Sybase数据库恢复方案MY SQL数据库恢复方案ORACLE数据库故障解决方案SQL SERVER数据库故障解决方案数据库恢复ESX SERVER文件系统(VMFS)恢复方案UNIX文件系统恢复方案服务器/RAID恢复方案LINUX文件系统恢复方案服务器数据恢复邮件损坏解决方案监控视频恢复方案软件数据恢复格式化/误删除数据恢复文件/分区丢失数据恢复苹果系统数据恢复方案软件数据恢复手机数据恢复手机数据恢复数据销毁,只需10秒钟,安全省力!数据销毁成功案例如何选择适合您的数据备份方案?划伤见圈,磁头定位技术浅析硬盘进水如何自救?数据安全科普:常见硬盘接口类型技术文章广州总部广州服务站广州服务站深圳服务站珠海服务站佛山服务站公司历程公司荣誉出品书刊合作客户恢复设备培训逻辑故障技术培训
数据保密认证
硬盘有价    数据无价
1%机会尽100%努力
高端服务品牌
不成功不收费
企业微信咨询9:30-22:00

EFS加密文件恢复方案

2016-11-08 00:00浏览数:442


故障类型:EFS加密文件无法打开

典型特征:1.重新系统后以前加密的文件无法打开;

                2.密钥文件丢失导致加密文件无法打开;


故障原理及恢复思路

  在使用EFS加密一个NTFS文件时,系统首先欠款生成一个伪随机数FEK(File EncryptionKey,文件加密钥匙) ,然后用FEK加密数据并对文件进行原位覆写。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在加密文件的SEFS属性中。


  而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件,在首次使用EFS时,如果用户还没有公钥、私钥对(统称为密钥),则会首先生成密钥,然后加密数据,如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。


      用户私钥是解密EFS文件的关键,私钥保存于Windows分区的Documents and Settings\UserName\ApplicationData\Microsoft\Protect\UserSID (用户的SID为安全标识符,相当于用户的身份证号码,当创建一个帐号时,系统为其分配一个唯一的SID编号)


  为了保护私钥,Windows用主密钥对私钥进行加密,主密钥位于Windows分区的Documents and Settings\UserName\ApplicationData\Microsoft\Protect\UserSID,然后再用用户密码生成的密钥对主密钥进行加密。


  这样就形成了“用户密码-主密钥-私钥-FEK-EFS加密文件”加密链。所以如果想完整地获得EFS加密数据,那么必须得到用户密码、主密钥和私钥。     


 检测流程

1.查看现有系统占用空间;

2.查看现在有mft文件目录数占用空间。


 恢复流程

1.查找或重组加密FEK的私钥;

2.查找可重组加密私钥的主密钥;

3.根据用户提供的用户密码进行匹配,解密用户文件;

4.对解密出来的文件进行逻辑分析和校验,迁移出用户所需数据。


 验收流程

1.对已恢复出来的数据做容量及数量统计,是否与数据丢失前吻合;

2.对已恢复出来的数据做完整性验证,确保文件在目录结构及底层逻辑等方面正确无误;

3.对客户指定的关键文件进行重点验证,确保客户关键数据成功恢复。


恢复的成功率&时间评估

      在大多数案例中此类故障主要是重装系统导致密钥丢失造成的,由于重装系统将写入大量文件到系统分区,密钥被覆盖的几率相对较高,这也是导致此类故障恢复成功率较低的重要原因,一般此类故障成功率在50%左右,通常所需时间为1-3个工作日。


数据安全科普

1.通过EFS加密文件后应该及时备份密钥并妥善保存;

2.出现此类故障后应该立刻停止继续使用计算机,以降低密钥被覆盖的几率。


选择服务商的标准

  数据恢复有别于一般维修行业,目前市场鱼龙混杂,不同服务商的技术水平和职业素质千差万别,数据丢失后交由非专业人员进行各种检测与恢复操作造成盘片划伤、数据完全覆盖,最终数据无法恢复的情况常有发生,用户从寻找低价到不惜代价拯救数据的例子比比皆是。因此,恢复重要数据必须寻求专业、正规的数据恢复公司帮助,切勿贪图便宜造成无法挽回的损失。是否专业考量的因素有:

 设备,拥有独立的无尘洁净间,保证开盘操作在百级无尘的洁净环境下进行,市场上很多数据恢复公司都表示有无尘洁净室,但事实上能让客户亲眼所见的只是凤毛麟角,寥寥可数。

 技术,就像病重的人手术一样,资深数据恢复工程师对硬件和逻辑结构均有丰富经验,能果断准确地判定该如何抢救数据,机会可能只有一次,有时一次的误操作足以让数据返魂乏术。

 效率,一般情况下普通故障当天能完成,即使开盘恢复也只1-3天,需要一段时间才能完成的极有可能是中间商,即接单后转给第三方赚取差价,成功率与数据安全毫无保障。

欢迎添加我们的企业微信了解更多详情

服务时间:9:30 — 22:00

服务地址:

广州恢复中心:天河南二路19-21号宏发大厦6楼611      020-85655901                        天河路596号岗顶百脑汇大厦C座1108室   020-85276568 深圳恢复中心:福田区华强北路1016号宝华大厦A座1603室    0755-83327982 珠海恢复中心:香洲区凤凰南路1030号瀚高大厦712室  0756-2236330 佛山恢复中心:禅城区汾江中路10号北极熊电脑数码广场二期三楼2306 0757-82257113
                 
在线客服
 
 
 
 
 工作时间
周一至周五 :9:30-18:30
周六至周日 :9:30-18:00