沐浴阳光的SK猫

晚上小试EPS，回想最近几天系统除了改过密码，并未做过其它调整，于是试着改密码、加密、删除证书、换密码等一系列尝试，得出一些假想

1. 换帐户密码的时候密钥会重新生成，密钥也叫FEK
2. 生成密钥是随机的，不是根据密码加密生成，所以把密码A改成B，再改回A，两处A的密钥是不一样的
3. 一个帐户可以存在多个文件证书
4. 对文件加密时，系统公钥对密钥进行加密，加密后的副本保存在文件里

晚上下了Advanced EFS Data Recovery，据说能解密EFS，3.2的版本，扫描出N多key，文件也显示可以被解密，但解密的时候提示未注册版本，只能解出文件前512字节，晕倒，试着TXT文本，还真能解，马上找了个破解文件，可惜只有3.0的，覆盖上去后，这下子怎么搜也只搜到几个key，还是不能用的，最后于失败告终。



网上流传还有另一种方法，是通过伪造sID进行解密，我觉得不大可能，有兴趣可以看看EFS加密的一线生机，还有一篇老外的牛文