Эта статья посвящена восстановлению
работоспособности encrypted file system (efs), импорту
ключей из старого профиля пользователя в
новую систему для получения доступа к
зашифрованной информации. Для начала
определимся, что ты для начала можешь
попробовать ряд существующих утилит для
этой работы, производимая в статье работа
требует определенных знаний и умений.

  • Наш любимый elcomsoft предлагает advanced
    efs data recovery
    для 2K/ХР по 99 долларов с
    доступной демо-версией.
  • Наша любимая Microsoft так же имеет в своем
    арсенала программу восстановления
    reccerts.exe, которую можно получить через
    службу платной поддержки.
  • Ну и неизвестная нам Passware предлагает efskey,
    которая, как говорят, работает медленнее
    aefsdr, а стоит ровно столько же - 95 условных
    енотов.

Вернемся к нашим баранам. По дефолту имена
efs в ХР раскрашены зеленым. При сбое все
ключи, естественно теряются, и при открытии
файла создается пустой документ с
описанием ошибки. Например:

  • notepad: cannot open the c:\documents and settings\foo\my
    documents\report.txt
  • файл: make sure a disk is in the drive you specified.
  • wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.

Появление такой ошибки обычно
свидетельствует о том, что для всех
пользователей, которые имели доступ к файлу,
используется неправильный ключ шифрования.
Причин этого может быть несколько -
наиболее распространенная - переустановка
системы.

Всем рекомендуется перед первым
использованием efs сделать экспорт
публичного и приватного ключей, причем
желательно на другой носитель (cipher /?) - эти
ключи рандомно генерируются при создании и
при повторной установке системы
естественно не повторяются. К удивлению, а
может и специально, при первом
использовании efs никаких предупреждений
доблестная Microsoft не выдает и есть реальная
опасность вообще напрочь про нее забыть.

В 2K и ХР данные о efs лежат тут:

c:\documents and settings\user\application data\microsoft\crypto\ -
приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ -
парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ -
публичный ключ. В общем говоря не так и
важен.

Допустим файлы сохранились и требуется их
использовать. Для работы с файловой
системой требуется тот же аккаунт с тем же
номером компьютера, что и был изначально.
Найти эти данные можно тут:

c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533-
1606980848-854245398-1003

Тут:

Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003

В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.

Идем в hklm\sam\sam\domains\account\users\%usernumbers% и
проверяем, есть ли аккаунт с таким номером в
системе. Если есть, то надо найти имя
пользователя и создать профиль с
оригинальным паролем. Если нету - создаем,
изменив перед этим hklm\sam\sam\domains\account\f по
смещению 48 на требуемый номер, и добавляем
его в админскую группу. Далее: в
hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины
на оригинальный. Следующее проделываем и
тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows
nt\currentversion\profilelist\ экспортируем ключ,
описывающий номеру машины с суффиксом из
номера пользователя, изменяем на
оригинальные номера и импортируем обратно.
Копируем папки с ключами в c:\documents and
settings\%username%\application data\microsoft\, перегружаемся...
и все должно работать.

В следующей части мы рассмотри ситуацию,
при которой файлов ключей нету.

Оставить мнение