加密檔案系統(Encrypting File System,EFS)是微軟提供,使用在NTFS檔案系統的加密技術,加密後的檔案僅能讓擁有加密憑證的帳號存取應用,即便是管理者帳號也無法解碼,如果公司重要的資料因此無法使用,真的是很不方便。這時,我們可以使用Elcomsoft公司的Advanced EFS Data Recover,或是Passware公司的EFS Key這兩套軟體,協助檔案還原。
這兩套工具都是付費軟體,皆提供試用版下載。在EFS key試用版中限制無法將解密的檔案複製另存,而Advanced EFS Data Recover的試用版,則僅能解密輸出檔案的部分內容,無法瀏覽全部文件。
救援時,千萬不要格式化磁碟,並保留具有加密憑證的使用者帳號,好讓工具軟體從使用者設定資料夾內擷取相關的金鑰,以提高檔案解密的成功率。如果無法登入系統,可以將實體磁碟移到其他正常電腦,在其他電腦上執行EFS解密工具來完成檔案解密的任務。
以Advanced EFS Data Recover為例,使用這套工具時,首先要在EFS相關檔案(EFS related files)分頁,執行金鑰掃描(Scan for Key),找出放在硬碟內的金鑰檔。這些檔案都存放在系統資料夾內,在搜尋金鑰時選擇系統存放的磁碟槽就可以了。
完成金鑰掃描後,Advanced EFS Data Recover會列出可辨識的金鑰和系統機碼,並以綠紅兩色分別表示可解密、不可解密。我們也可以輸入使用者登入名稱及密碼,加強工具對於對加密檔案的還原能力。
|
|
| Advanced EFS Data Recover會列出可辨識的EFS加密檔案,並以顏色區分是否能夠解密還原。 |
接下來就是掃描EFS加密檔案。在Advanced EFS Data Recover的檔案解密(Encrypted Files)分頁,選取加密檔案所在的磁碟槽,選取後就會針對該磁碟進行掃描,完成後列出可辨識出的EFS加密檔案,並依照解密與否,分成綠、紅兩種顏色表示。我們可以透過左邊的輔助工具選取要解密輸出的檔案,點選解密(Decrypt)就可以將檔案解密,並產生檔案原本的資料夾樹狀結構,將檔案複製到所屬資料夾內。
我們使用Advanced EFS Data Recover將檔案還原後,因為試用版功能限制,雖然能夠恢復存取,但只解開片段檔案內容,如純文字文件還原後,雖然檔案大小相同,但僅有片段內文,執行檔則無法正確執行。
如果不習慣由工具掃描產生的檔案清單,Advanced EFS Data Recover也可以透過樹狀檢視(File tree),找出要解密的檔案,選取起來,然後加入復原清單,再回到檔案解密分頁,按下解密的按鈕,將檔案還原。
這套軟體本身有精靈模式,引導使用者逐步完成EFS相關檔案掃描、檔案掃描以及檔案複製,相當方便。不過精靈模式中間忽略了許多設定步驟,可能會因此影響檔案還原的成效,使用者可以依照自己的習慣改用手動設定。文⊙林郁翔
EFS檔案解密工具 |
|||
| 軟體名稱 | 售價 | 下載網址 | 試用版使用限制 |
| Advanced EFS Data Recover | 199美元 | www.elcomsoft.com | 僅能還原檔案的部分內容 |
| EFS Key | 195美元 | www.lostpassword.com | 無法複製解密檔案 |
iThome歡迎讀者提問,請將你所遇到的各種企業IT疑難雜症,寄至iThome編輯部:QA@mail.ithome.com.tw
熱門新聞
2024-05-12
2024-05-10
2024-05-13
2024-05-10
2024-05-10