从加密的 WinXP 分区映像恢复数据

从加密的 WinXP 分区映像恢复数据

编辑:看来该分区是使用 TPM 的全盘加密软件加密的——我看不出还有什么其他方法可以让分区看起来像是完全加密的,同时计算机无需任何启动时身份验证就可以正常启动。如果是这样的话,我是不是运气不好,无法找回文件?有什么想法吗?

我的情况如下:

  1. 我没有预料到后果,就从域中删除了一个已加入域的 Windows 帐户
  2. 这似乎导致用户账户无法访问——它不让我使用之前正常工作的用户名-密码对登录
  3. 我使用 Ubuntu Live CD 启动了计算机,但是mount分区失败(/dev/sda1),并且 gparted 说它无法识别分区上的文件系统
  4. 我编写了一个快速的 Python 脚本来查看分区是否包含任何 ASCII 序列,但脚本唯一能够找到的是在分区最开始处的与引导程序相关的短 ASCII 字符串;从那时起,它就只是二进制了(为了进行比较,我在已知未加密的分区上运行了相同的脚本,并给出了很多结果,因此可以安全地假设脚本没有错误;它在这里:http://pastebin.com/7Pn5rrvZ;它应该在 PyPy 2.0 上处理大约 15-20MB/秒的数据)

dd我已将分区的原始映像复制到另一台(OS X)计算机,然后使用将其转换为 VMDK 格式qemu-img,但 Parallels 无法挂载该映像。

我知道要将dd分区转移到外部硬盘上,然后将该物理分区(而不是磁盘映像)安装到运行 Windows 7 的 Parallels 上,看看是否可以以某种方式尝试访问该分区。

从积极的一面来看,我确实有一个旧的系统备份,其中包含以前加入域的用户帐户的主目录,其中还包含Application Data\Microsoft\CryptoApplication Data\Microsoft\ProtectApplication Data\Microsoft\systemcertificates文件夹,Windows 应该在其中保存某种证书或加密密钥。由此我假设分区是使用内置 EFS 机制加密的,而不是使用某些第三方加密工具。

顺便提一下,这是一个 Windows XP 分区。

我正在寻找有关如何从分区恢复文件的建议。

旧备份中的 EFS 相关文件列表如下:http://pastebin.com/raw.php?i=h9J5rgvk

PS 我无法访问整个分区,而不仅仅是其中的文件夹。另外,我不能 100% 确定它是否经过 EFS 加密;我无法确定 EFS 是否能够加密整个分区。

相关内容