编辑:看来该分区是使用 TPM 的全盘加密软件加密的——我看不出还有什么其他方法可以让分区看起来像是完全加密的,同时计算机无需任何启动时身份验证就可以正常启动。如果是这样的话,我是不是运气不好,无法找回文件?有什么想法吗?
我的情况如下:
- 我没有预料到后果,就从域中删除了一个已加入域的 Windows 帐户
- 这似乎导致用户账户无法访问——它不让我使用之前正常工作的用户名-密码对登录
- 我使用 Ubuntu Live CD 启动了计算机,但是
mount
分区失败(/dev/sda1
),并且 gparted 说它无法识别分区上的文件系统 - 我编写了一个快速的 Python 脚本来查看分区是否包含任何 ASCII 序列,但脚本唯一能够找到的是在分区最开始处的与引导程序相关的短 ASCII 字符串;从那时起,它就只是二进制了(为了进行比较,我在已知未加密的分区上运行了相同的脚本,并给出了很多结果,因此可以安全地假设脚本没有错误;它在这里:http://pastebin.com/7Pn5rrvZ;它应该在 PyPy 2.0 上处理大约 15-20MB/秒的数据)
dd
我已将分区的原始映像复制到另一台(OS X)计算机,然后使用将其转换为 VMDK 格式qemu-img
,但 Parallels 无法挂载该映像。
我知道要将dd
分区转移到外部硬盘上,然后将该物理分区(而不是磁盘映像)安装到运行 Windows 7 的 Parallels 上,看看是否可以以某种方式尝试访问该分区。
从积极的一面来看,我确实有一个旧的系统备份,其中包含以前加入域的用户帐户的主目录,其中还包含Application Data\Microsoft\Crypto
、Application Data\Microsoft\Protect
和Application Data\Microsoft\systemcertificates
文件夹,Windows 应该在其中保存某种证书或加密密钥。由此我假设分区是使用内置 EFS 机制加密的,而不是使用某些第三方加密工具。
顺便提一下,这是一个 Windows XP 分区。
我正在寻找有关如何从分区恢复文件的建议。
旧备份中的 EFS 相关文件列表如下:http://pastebin.com/raw.php?i=h9J5rgvk
PS 我无法访问整个分区,而不仅仅是其中的文件夹。另外,我不能 100% 确定它是否经过 EFS 加密;我无法确定 EFS 是否能够加密整个分区。