Эта статья посвящена восстановлению
работоспособности encrypted file system (efs), импорту
ключей из старого профиля пользователя в
новую систему для получения доступа к
зашифрованной информации. Для начала
определимся, что ты для начала можешь
попробовать ряд существующих утилит для
этой работы, производимая в статье работа
требует определенных знаний и умений.

  • Наш любимый elcomsoft предлагает advanced
    efs data recovery
    для 2K/ХР по 99 долларов с
    доступной демо-версией.
  • Наша любимая Microsoft так же имеет в своем
    арсенала программу восстановления
    reccerts.exe, которую можно получить через
    службу платной поддержки.
  • Ну и неизвестная нам Passware предлагает efskey,
    которая, как говорят, работает медленнее
    aefsdr, а стоит ровно столько же - 95 условных
    енотов.

Вернемся к нашим баранам. По дефолту имена
efs в ХР раскрашены зеленым. При сбое все
ключи, естественно теряются, и при открытии
файла создается пустой документ с
описанием ошибки. Например:

  • notepad: cannot open the c:\documents and settings\foo\my
    documents\report.txt
  • файл: make sure a disk is in the drive you specified.
  • wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.

Появление такой ошибки обычно
свидетельствует о том, что для всех
пользователей, которые имели доступ к файлу,
используется неправильный ключ шифрования.
Причин этого может быть несколько -
наиболее распространенная - переустановка
системы.

Всем рекомендуется перед первым
использованием efs сделать экспорт
публичного и приватного ключей, причем
желательно на другой носитель (cipher /?) - эти
ключи рандомно генерируются при создании и
при повторной установке системы
естественно не повторяются. К удивлению, а
может и специально, при первом
использовании efs никаких предупреждений
доблестная Microsoft не выдает и есть реальная
опасность вообще напрочь про нее забыть.

В 2K и ХР данные о efs лежат тут:

c:\documents and settings\user\application data\microsoft\crypto\ -
приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ -
парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ -
публичный ключ. В общем говоря не так и
важен.

Допустим файлы сохранились и требуется их
использовать. Для работы с файловой
системой требуется тот же аккаунт с тем же
номером компьютера, что и был изначально.
Найти эти данные можно тут:

c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533-
1606980848-854245398-1003

Тут:

Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003

В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.

Идем в hklm\sam\sam\domains\account\users\%usernumbers% и
проверяем, есть ли аккаунт с таким номером в
системе. Если есть, то надо найти имя
пользователя и создать профиль с
оригинальным паролем. Если нету - создаем,
изменив перед этим hklm\sam\sam\domains\account\f по
смещению 48 на требуемый номер, и добавляем
его в админскую группу. Далее: в
hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины
на оригинальный. Следующее проделываем и
тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows
nt\currentversion\profilelist\ экспортируем ключ,
описывающий номеру машины с суффиксом из
номера пользователя, изменяем на
оригинальные номера и импортируем обратно.
Копируем папки с ключами в c:\documents and
settings\%username%\application data\microsoft\, перегружаемся...
и все должно работать.

В следующей части мы рассмотри ситуацию,
при которой файлов ключей нету.

Check Also

Неинновационные инновации. Откуда растут корни технологий Apple

Тройная камера, умный режим HDR, «ночной режим» Night Shift, True Tone, Liquid Retina Disp…

Оставить мнение