Odszyfrowanie danych z EFS w XP


(Mareczkee) #1

W wypadku EFS twoje pliki mogą zostać zaszyfrowane tak skutecznie, że sam nie będziesz mógł odczytać ich treści. Dochodzi do tego najczęściej po reinstalacji Windows. Gdy system zaczyna sprawiać problemy, kopiujesz dane na inną partycję, formatujesz wolumin i instalujesz Windows od nowa. Radość z przywrócenia stabilności systemu trwa krótko. Podczas próby odczytania zaszyfrowanych plików otrzymujesz niemiły komunikat o braku dostępu.

Co mam zrobic żeby odzyskac/odszyfrowac te pliki ?? ratunku !!


(Maniooo666) #2

Witam,

Jeżeli sformatowałeś partycję - przegrałeś.

Najpewniej wtedy usunąłeś encryption keys, które to są niezbędne do deszyfracji.

Jeżeli nie, to istnieje szansa:

http://www.elcomsoft.com/aefsdr.html


(Mareczkee) #3

Ten programik juz mam tylko wogóle go nie rozumie... przedstaw mi skrócona wersje jego uzytkowania... aha i mam wersje trial


(Maniooo666) #4

Witam,

Masz przecież na stronie dokumentację.

Ja nigdy nie używałem tego softu, nie miałem potrzeby.

Z tego co pamiętam, taka wersja odzyskuje tylko pierwsze 512kB pliku.


(Docent) #5

Bez certyfikatu przechowywanego w Personal Store w profilu użytkownika nie da rady odszyfrować plików zaszyfrowanych przez EFS. Certyfikat niestety trzeba było wyeksportować przed reinstalacją, albo odszyfrować dane... :frowning:

Jeszcze jedna uwaga - ku przestrodze innym - ntbackup (narzędzie wbudowane do tworzenia kopii zapasowych w Windows XP) również kopiuje pliki zaszyfrowane, także po formacie jeśli nie skopiujemy równocześnie klucza to może okazać się, że kopia jest bezużyteczna...


(Mareczkee) #6

A nie możnaby odzysakc tych plików(certyfikaty itd.)??


(Maniooo666) #7

Witam,

Jest tylko kilka ewentualności, w których istnieje nikła szansa na to,

ale mam dziwne przeczucie, że w Twoim wypadku żadna z nich się nie sprawdzi.

http://groups.google.pl/group/microsoft ... 2690e488da

Jeżeli nie zrobiłeś kopii tych certyfikatów to nic już nie zrobisz.

Skasuj pliki, bo tylko miejsce na dysku zajmują,

a na przyszłość zabezpieczaj się, gdy stosujesz EFS.

http://www.microsoft.com/poland/technet ... rt018.mspx


(Mareczkee) #8

No włąsnie w tym problem ze nie zrobiłem kopii tych certyfikatów... czy nie dałoby sie ich odzyskac jakimś programem albo cóś?


(Docent) #9

Jeśli sformatowałeś dysk - nie ma takiej możliwości domowymi metodami. Na tym to właśnie polega - co to za szyfrowanie, które można łatwo odszyfrować?...


(Tomja01) #10

Witam!

Mój problem jest trochę inny. Zaszyfrowany katalog znajdował się w "Moje Dokumenty" na partycji D. Przeinstalowałem system i przeniosłem "Moje Dokumenty" - katalog domyślnie rezydujący na partycji C do katalogu "Moje Dokumenty" znajdującego się na partycji D. Oczywiście w nowym systemie nie jestem w stanie otworzyć plików zaszyfrowanych w poprzednim systemie.

Ale... przed skasowaniem starego systemu, zrobiłem obraz partycji C. Po przywróceniu starego systemu, czyli tego pod którym dokonywałem szyfrowania - pojawia się odmowa dostępu, gdy chcę odszyfrować bądź cokolwiek zrobić z zaszyfrowanym katalogiem.

Dlaczego??

Będę wdzięczny za jakiekolwiek sugestie.


(Maniooo666) #11

Witam,

właściwie mogę Ci tylko polecić lekturę tego artykułu:

http://www.beginningtoseethelight.org/efsrecovery/


(Projektphoenix) #12

Witam, teoretycznie jest mozliwe odszyfrowanie ale jest bardzo pracochłonne lub kosztowne

Aby odszyfrować plik po formatowaniu dysku trzeba spisać "Odcisk palca certyfikatu" (ciąg 40 znaków np. B8C4454D3FE544AFDDB983D6A39B59328DAEB3C8, plik ważący ~1kb), następnię użyć jakiejś zaawansowanej aplikacji do odzyskiwania plików... np. R-STUDIO.

Po dokładnym pszeszukaniu dysku przez aplikację wyszukujemy naszego klucza (Odcisk palca certyfikatu).

Odcisk palca certyfikatu należy wrzucić do następującej lokalizacji:

C:\Documents and Settings\%nazwaużytkownika%\Dane aplikacji\Microsoft\SystemCertificates\My\Certificates

Myślę, że ta informacjia chociaż troszkę rozwieje wasze wątpliwości. Doszedłem do tego rozwiązania ponieważ znalazłem się w takim samym połorzeniu jak wieksząść pisząćych w tym temacie.


(Stig125p) #13

Witam sorry że odkopuje trupa.

Ale mam pytanie co mam zrobi jeśli posiadam cała zawartość tego folderu przed formatem ja przekopiowałem.

C:\Documents and Settings\%nazwaużytkownika%\Dane aplikacji\Microsoft\SystemCertificates\My\Certificates

no i co teraz zrobić jak postępować dalej?? proszę o pomoc


(Maniooo666) #14

Witaj,

ogólnie powyższe linki działają - czytaj.

Podany soft być może pomoże, ale zapoznaj się głębiej z jego specyfikacją.

Drugi link pozwala poznać głębię tego szyfrowania oraz ewentualne problemy i możliwości z nim związane.

Dłuuuuga lektura przez Tobą :slight_smile: .

Powodzenia.


(Bosta) #15

"Aby odszyfrować plik po formatowaniu dysku trzeba spisać "Odcisk palca certyfikatu" (ciąg 40 znaków np. B8C4454D3FE544AFDDB983D6A39B59328DAEB3C8, plik ważący ~1kb), "

tylko gdzie go znaleźć ?

a swoją drogą to szyfrowanie jest o kant d... rozbić bo gdy ci ktoś ukradnie laptopa to wystarczy, że włamie się do niego - a to nie jest trudne - i wszystko ma jak na talerzu.

Microsoft dał do tej opcji zbyt łatwy dostęp. Pliki zostają zaszyfrowane bez ostrzeżenia, że każda zmiana hasła lub nie daj Boże reinstalacja systemu i tracisz je bezpowrotnie jeśli nie spełnisz specjalnych wymagań o których nie wiesz.

Aż mi się wierzyć nie chce, że czas mija a spece od łamania haseł nie mogą dać sobie z tym rady.

Wciąż czekam na jakiegoś bystrego, który system EFS rzuci na kolana.