win7加密的照片文件夹，重装系统后怎么办除

对于EFS加密解密，只有两个办法

A-ESF法：

下载AESF

打开

搜索公钥，私钥

找到待恢复文件

保存

二进制法：

Step1、用Ultariso制作U盘版PE，用U盘引导进入pe环境。直接运行U盘上的easyrecovery主程序。Step2、在easyrecovery主界面中选择"数据恢复"→格式化恢复→选择分区→点击"下一步"。等待扫描和目录构建完成。Step3、在找到的文件中，根据目录树把前面提到的几个文件夹全部恢复出来放置到U盘中，另外还要记下%UserProfile%Application DataMicrosoftCryptoRSASID这个"SID"文件夹的名称。如果目录树中找不到文件夹，那么请进入"Lostfile"文件夹，在里面的"DIR*"文件夹中逐一寻找。或者使用"查找"功能查找"Crypto"关键词。但是我觉得这个查找功能不够强大，如果"查找"功能查找不到的话，建议大家还是手动找一次吧，别轻易放弃。而且需要提醒大家的是，如果找到多个文件，可以通过"日期"判断需要恢复哪一个。Step4、回忆用户名和密码或者问当事人要原来的用户名和密码。 Part3构造一个可以解密文件的用户，解密被加密文件如果你对系统有"洁癖"不愿意增加任何多余的文件和垃圾配置，那么可以在进行这一步之前对当前系统做一个GHOST备份。Step1、首先观察我们之前在第一步step3得到的这串数值：S-1-5-21-842925246-879983540-1417001333-1003，后面的1003是RID，SID是前面的部分。Step2、构造SID，这里我们用微软提供的一个小工具来改变SID，工具的名称叫做Newsid。程序之后，先同意协议，然后一路下一步直到"Choose a SID"；这里选择"Specify"下面输入需要修改的SID，之后继续"Next"，完成之后自动重启系统，SID就修改好了。提醒一下，如果只是删除了用户而不是重装系统的话，可以跳过这一步，因为SID本来就是一样的。Step3、获得system权限。因为修改HKEY_LOCAL_MACHINESAM需要system用户权限。所以这里我们使用微软提供的psexec工具，在开始菜单的运行中输入cmd命令并回车，打开命令提示符窗口。之后使用CD命令定位到psexec所在的目录或者直接以绝对路径例如c: psexec -i -d -s %windir% egedit.exe这样的命令以system用户身份运行注册表编辑器。小知识：Windows新建用户的RID值由HKEY_LOCAL_MACHINESAMSAMDomainsAccount注册表项的"F"键值确定。具体的说是在0048偏移量的4个字节，是二进制数据。通过修改这个数据可以让新建用户拥有一样的RID。也就是说我们要指定的RID需要通过新建用户实现。 Step4、修改注册表键值。定位到HKEY_LOCAL_MACHINESAMSAMDomainsAccount，找到并打开F键值。因为注册表中键值数据是用16进制形式存放的，而且是反转形式保存。所以在这里我们需要这样做：我们要修改的RID是1003，1003转换为16进制是03EB，翻转过来就是EB03。数据的进制转换可以使用Windows自动的"计算器"转换，别以为这东西没用哦。如果转换出来的数据是3位数例如3EB，则需要在前面补一个0变成4位数03EB。找到对应的0048偏移量，把数值修改为我们上面推算出来的数值。 Step5、依次重启电脑→新建一个同名账户，密码也一样→用新建用户登录系统，使用EFS随便加密一个文件，然后注销或者重启更换管理员账户登录→把恢复出来的文件复制到对应文件夹→重启。当再用新建用户登录的时候，就可以正常解密文件了。

其实这是因为UE在第一次运行的时候，就会向系统安装它的驱动。这个驱动就是造成蓝屏的真正原因，所以只要删除这个驱动就可以解决蓝屏问题了。

1、下载psexec.exe工具。

2、删除Win7注册表中的首先，删除C:\Windows\System32\drivers\hpmobiledisk.sys这个文件

3、 请以管理员身份运行命令提示符如果是以管理员权限登录的系统，可直接在“运行”中输入“CMD”

4、把psexec.exe工具拷贝到System32

5、 在命令提示符窗口中输入：psexec -i -d -s regedit.exe

6、 在d出的交互式服务对话框检测窗口中点击 ----显示消息

7、 在d出的注册表编辑器中轻松删除以上两个注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HPMOBILEDISK

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HPMOBILEDISK

8、 重启两遍，此时折磨人的蓝屏就消失。

1，下载win7管理权限的工具PsTools。\x0d\x0a\x0d\x0a2，找到可执行文件PsExec.exe，将其复制到C盘system32文件夹内。\x0d\x0a\x0d\x0a3，以管理员身份运行命令提示符，在出现的system32>光标处输入"PsExec.exe -i -d -s regedit.exe”，按回车键之后出现注册表管理器。\x0d\x0a\x0d\x0a4，进入这一步之后就简单了。删除注册表中以下目录的USBSTOR子项。\x0d\x0a（1）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USBSTOR\x0d\x0a（2）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USBSTOR\x0d\x0a（3）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/USBSTOR\x0d\x0a（4）HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR \x0d\x0a\x0d\x0a删除上述USBSTOR子项后，一般保密检查软件就不能检查了。如果需要彻底清除USB使用记录，完成上述 *** 作后，可以接着如下的 *** 作过程：\x0d\x0a1）、删除如下USB子项下除ROOT_HUB、ROOT_HUB20外的所有记录。\x0d\x0a（1）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USB\x0d\x0a（2）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USB\x0d\x0a（3）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/USB\x0d\x0a（4）HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USB\x0d\x0a2）、删除DeviceClasses下的a5d...、53f...等含usb字眼的部分子项。\x0d\x0a（1）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}\x0d\x0a（2）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}\x0d\x0a（3）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}\x0d\x0a\x0d\x0a（4）HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/DeviceClasses /{53f56307-b6bf-11d0-94f2-00a0c91efb8b}/##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\x0d\x0a......\x0d\x0a（5）HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}\x0d\x0a\x0d\x0a经过以上四步，就能将注册表里的U盘使用痕迹删除掉，使用猎隼软件是检测不到这些痕迹的。\x0d\x0a\x0d\x0a粘贴过来 可能帮助到你。。。

---