Эта статья посвящена восстановлению
работоспособности encrypted file system (efs), импорту
ключей из старого профиля пользователя в
новую систему для получения доступа к
зашифрованной информации. Для начала
определимся, что ты для начала можешь
попробовать ряд существующих утилит для
этой работы, производимая в статье работа
требует определенных знаний и умений.
- Наш любимый elcomsoft предлагает advanced
efs data recovery для 2K/ХР по 99 долларов с
доступной демо-версией. - Наша любимая Microsoft так же имеет в своем
арсенала программу восстановления
reccerts.exe, которую можно получить через
службу платной поддержки. - Ну и неизвестная нам Passware предлагает efskey,
которая, как говорят, работает медленнее
aefsdr, а стоит ровно столько же - 95 условных
енотов.
Вернемся к нашим баранам. По дефолту имена
efs в ХР раскрашены зеленым. При сбое все
ключи, естественно теряются, и при открытии
файла создается пустой документ с
описанием ошибки. Например:
- notepad: cannot open the c:\documents and settings\foo\my
documents\report.txt - файл: make sure a disk is in the drive you specified.
- wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.
Появление такой ошибки обычно
свидетельствует о том, что для всех
пользователей, которые имели доступ к файлу,
используется неправильный ключ шифрования.
Причин этого может быть несколько -
наиболее распространенная - переустановка
системы.
Всем рекомендуется перед первым
использованием efs сделать экспорт
публичного и приватного ключей, причем
желательно на другой носитель (cipher /?) - эти
ключи рандомно генерируются при создании и
при повторной установке системы
естественно не повторяются. К удивлению, а
может и специально, при первом
использовании efs никаких предупреждений
доблестная Microsoft не выдает и есть реальная
опасность вообще напрочь про нее забыть.
В 2K и ХР данные о efs лежат тут:
c:\documents and settings\user\application data\microsoft\crypto\ -
приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ -
парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ -
публичный ключ. В общем говоря не так и
важен.
Допустим файлы сохранились и требуется их
использовать. Для работы с файловой
системой требуется тот же аккаунт с тем же
номером компьютера, что и был изначально.
Найти эти данные можно тут:
c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533-
1606980848-854245398-1003
Тут:
Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003
В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.
Идем в hklm\sam\sam\domains\account\users\%usernumbers% и
проверяем, есть ли аккаунт с таким номером в
системе. Если есть, то надо найти имя
пользователя и создать профиль с
оригинальным паролем. Если нету - создаем,
изменив перед этим hklm\sam\sam\domains\account\f по
смещению 48 на требуемый номер, и добавляем
его в админскую группу. Далее: в
hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины
на оригинальный. Следующее проделываем и
тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows
nt\currentversion\profilelist\ экспортируем ключ,
описывающий номеру машины с суффиксом из
номера пользователя, изменяем на
оригинальные номера и импортируем обратно.
Копируем папки с ключами в c:\documents and
settings\%username%\application data\microsoft\, перегружаемся...
и все должно работать.
В следующей части мы рассмотри ситуацию,
при которой файлов ключей нету.
