假设被删除的用户名为 USER,那么 C:\Documents and Settings\USER\Application Data\Microsoft\Crypto\RSA 目录下应该有一个形如 S-1-5-21-4662660629-873921405-788003330-1004 的文件夹,其中1004就是RID。
以 System 权限(使用第三方软件)访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 项的 F 键值,在偏移量0048处的四个字节,定义系统下一个帐户的RID值,因此我们将改位置的值改为“EC 03 00 00”(1004的16进制值是03EC)www.win10net.com
重启后,新建一个同名帐户 USER,它的SID就和以前是完全一样的了。
之后用新建的 User 帐户身份登录系统,随便加密一个文件,然后注销,用管理员帐户登录系统,把原来保留的配置文件复制到 C:\Documents and Settings\Admin文件夹下,再用 USER 帐户登录系统,就可以解密原来的EFS文件了。