Skocz do zawartości

EFS Odzyskanie zaszyfrowanych plików z kopii zapasowej


Rekomendowane odpowiedzi

Witam.
Mam (jak się okazuje) nie mały problem, a mianowicie:
1. Nieświadomie zaszyfrowałem (komunikator internetowy) pliki i katalogi (zielona nazwa plików).
2. Po jakimś czasie (4 lata) wysypał mi się dysk systemowy na amen, nawet w biosie go nie było widać.

3. Regularnie co tydzień robiłem kopie zapasowe ustawień aplikacji i niektórych plików jak i profilów użytkowników ;)

4. Przeinstalowałem system. Odzyskałem z backupu pliki jednak te które były zaszyfrowane wykazują "Brak dostępu" przy jakiejkolwiek interakcji z nimi.
5. Próby odszyfrowania na nowo zainstalowanym windowsie z taką samą nazwą użytkownika i hasłem i komputeru zakańczyła się fiaskiem i komunikatem o błędzie i braku dostępu.
6. Zainteresowałem się tematem głębiej i duuuuużo pogooglałem. Odnalazłem certmgr.msc - > widniał mi tam nowy certyfikat (o odcisku EE76) stworzony po zainstalowaniu systemu.

7. Używałem programu Advanced EFS Data Recovery jednak to skończyło się niepowodzeniem.

8. Jako że mam dostęp do kopii plików sprzed 3 dni, odnalazłem kilka ścieżek i przekopiowałem pare plików z nadzieją że pomoże :)

"C:\ProgramData\Microsoft\Crypto"

"C:\Users\Aaros\AppData\Roaming\Microsoft\Protect" - oczywiście uwzględniając SID

"C:\Users\Aaros\AppData\Roaming\Microsoft\Crypto" - uwzględniając SID ;)

"C:\Users\Aaros\AppData\Roaming\Microsoft\SystemCertificates\My" - to jest folder z certyfikatami i kluczami, tak to wygląda :)

9. Po restarcie komputera w certmgr.msc widniały już 2 certyfikaty stary (EBF8) i nowy (EE76), przy obu widnieje "Masz klucz prywatny, który odpowiada temu certyfikatowi". Jednak stary widniał z "x", ale to sobie poradziłem, dodałem go do zaufanych i wszystko było OK.

10. Przy eksporcie w nowym nie było problemu wyeksportować z kluczem a w starym nie dało się wyeksportować z kluczem. Tak samo jak nadal nie dało się odszyfrować danych.

11. Wgłębiając się jeszcze bardziej w temat odnalazłem polecenie cipher w konsoli i po wykonaniu "cipher /y" pokazuje mi tylko odcisk nowego klucza zaczynający się na EE76, po "cipher /u /n" niby przeleciało zaszyfrowane pliki ale nic z nimi nie zrobiło. Poleceniem "cipher /r:backup" zrobiłem sobie klucz odzyskiwanie do nowego (EE76) tak na wszelki wypadek.

12. Znalazłem program DiskInternals EFS Recovery który odszyfrowuje pliki bez problemu po podaniu hasła do poprzedniego konta na podstawie tych danych z powyższych folderów, jednak wersja trial nie pozwala ich zgrać ani wyeksportować certyfikatów. Zainteresowałem się tematem jeszcze bardziej. Mam inny SID komputera niż miałem wcześniej, znalazłem program odpowiedni by sobie zmienić, i to zrobiłem. Jednak mimo że SID komputera mam taki sam jak miałem to mam inny SID użytkownika. Aktualny SID "S-1-5-21-3822880408-255844543-1070674162-1000" a to SID na którym w poprzedniej instalacji były generowane certyfikaty "S-1-5-21-3822880408-255844543-1070674162-1001" do tego różni się jeszcze Container GUI nowy "{E5672F3C-8A6B-40C0-8A51-ADEEB0F132F5}" i stary na którym był stworzony tamten certyfikat "{2D996FE1-BD7A-408D-88D3-52A875E9B106}"

I tutaj moje zapytanie:
Brak certyfikatu do "Agenta odzyskiwania", brak wyeksportowanego certyfikatu wraz z kluczem ze starej instalacji. Mając w posiadaniu certyfikat bez możliwości wyeksportowania klucza prywatnego oraz pliki klucza prywatnego (wygenerowane na innym SIDzie i ) w odpowiednich katalogach, posiadając stare hało, czy jestem w stanie uzyskać dostęp do danych pomijając ten program?

Bardzo proszę o pomoc, męczę się już z tym od 2 dni ^^

 

Wyodrębniłem pliki w postaci windowsowej

Master Key, Public Key (certyfikat) i Private Key.

Pytanie teraz jak to ugryźć żeby odszyfrować pliki?

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Informacja o kluczu zapisana jest w dodatkowym strumieniu do zaszyfrowanego pliku, $EFS. Jest tam informacja zarówno o SIDzie użytkownika, jak i odcisk palca dla certyfikatu, container gui + 256 bajtów zaszyfrowanego klucza (FEK) (plus inne rzeczy, typu suma kontrolna). Wygląda na to, że nad tymi wszystkimi danymi trzeba mieć kontrolę, co zdaje się w tym momencie potrafi bodaj tylko wspomniany przez Ciebie program.

Przyznaję, że sam też bawiłem się trochę EFS, jednak bez większych sukcesów. Zatrzymałem się na deszyfrowaniu FEK, bez sukcesu :( Jestem w kontakcie z autorami DPAPIck, jednak do ostatecznego rozwiązania jeszcze daleka droga :(

 

Czy udało Ci się coś więcej ustalić?

 

m.g.

Odnośnik do komentarza

Znalazłem program DiskInternals EFS Recovery który odszyfrowuje pliki bez problemu.

 

Próbowałem "różnych sztuczek" zaczerpniętych z internetu z myślą o odzyskaniu danych, wiele aplikacji do odzyskiwania danych bez rezultatów pozytywnych.

 

Zgadza się. Program rewelacja. Kiedyś odzyskałem wszystkie zaszyfrowane dane. DiskInternals EFS Recovery - według mnie najlepszy i skuteczny program do odzyskiwania zaszyfrowanych danych i nie tylko.

Odnośnik do komentarza

Znalazł­em tą stronę http://www.beginningtoseethelight.org/efsrecovery/index.htm

Stworzę sobie wirtualną maszynę i zasymuluje dokładnie takie same ustawienia jakie były na starym dysku. Zastosuję się do tamtego poradnika i może coś z tego wyjdzie.

Na DPAPIck też się natknąłem ^^

Ostatecznym rozwiązaniem byłoby znaleźć pirata do tego programu jednak niekoniecznie jest to możliwe.

Jest jeszcze podobny program http://www.lostpassword.com/news/pnl29.htm do paczki enterprise bodajże wersji 8.3 był załączany addon z EFS a powyżej tej wersji trzeba o to prosić stuff od tej aplikacji.

Odnośnik do komentarza

Jest jeszcze inna opcja, właśnie podsunął mi ten pomysł Jean-Michel (ten od DPAPIck) :)

Otóż istnieje implementacja efs w ramach projektu ntfs-3g, który występuje w większości współczesnych dystrybucji linuxa. Wystarczy użyć ntfsdecrypt z pakietu ntfsprogs [KLIK] i podając klucz w postaci .pfx + hasełko do klucza prywatnego + ścieżkę do pliku można odszyfrować zawartość. Nie sprawdzałem, ale z tego co widzę w źródłach, wygląda to jak najbardziej sensownie i powinno działać. Postaram się sam napisać tool do tego celu, działający pod windows, jednak nie jest to kwestia najbliższego czasu, więc niczego nie mogę obiecać.

 

m.g.

Odnośnik do komentarza

mgrzeg :) ciekawa opcja. Najgorzej jak właśnie nie ma się klucza w postaci .pfx bo ja na przykład nie mogę takiego certyfikatu z kluczem wyeksportować, tego z plików.

Nie posiadam fizycznej możliwości dostępu do danych ze starego dysku, mam tylko kopię plików z AppData i ProgramData, ale znam wszystkie inne parametry :)

Jakby co oferuję swoją pomoc w pisaniu czegoś, jednak nie jestem za bardzo zaawansowany w programowaniu (celuję w 6 na koniec roku z programowania w technikum - informatyk ;p), ale szybko się uczę :)

Jakbyś coś jeszcze więcej wiedział to pisz. Ja będę na bierząco podawał postęp z metodą opisaną w tamtym tutorialu.

Odnośnik do komentarza

I jak idzie odzyskiwanie danych? Jakieś postępy? Metoda 'ręczna' opisana w linku podanym przez Ciebie wydaje się dosyć długa i bez gwarancji powodzenia, niestety...

Kilka pytań:

- czy zaszyfrowane pliki widzisz w eksploratorze jako 'zaszyfrowane' (na zielono)? Dużo ich jest i tworzonych w różnym czasie?

- czy masz komplet plików z poprzedniego systemu z Twojego profilu, tj. %APPDATA%\Microsoft?

 

m.g.

Odnośnik do komentarza

Co do tego jak mi idzie. Ostatnio mam mało czasu dla siebie, troche dołek i niechęci na nic. Postawiłem wirtuala z nowym systemem i skonfigurowałem go jak stary system, pozostało postąpić według poradnika.

Odpowiem na twoje pytania:

Tak widzę pliki na zielono, z różnymi datami utworzenia.

i drugie Tak, mam komplet plików z poprzedniego profilu z całego %APPDATA%

Odnośnik do komentarza

Nie mam gotowego narzędzia do udostępnienia, ale mogę spróbować pomóc w odzyskaniu danych. Niestety będę potrzebował (katalogi wraz z podkatalogami):

- komplet kluczy RSA z %APPDATA%\Microsoft\Crypto\RSA

- komplet kluczy DPAPI zawierający pliki CREDHIST oraz zaszyfrowany zestaw masterkeys, czyli zawartość katalogu %APPDATA%\Microsoft\Protect

- zestaw certyfikatów użytkownika, czyli zawartość katalogu %APPDATA%\Microsoft\SystemCertificates

- skróty SHA1 oraz MD4 ostatniego hasła użytkownika zakodowanego jako UTF16-LE, które było używane na tamtej instalacji (do odszyfrowania pierwszego z masterkeys). (lub jeszcze lepiej samo hasło, ale mogę zrozumieć wątpliwości)

 

Przydałaby się także próbka zaszyfrowanego pliku, a więc strumienie $DATA oraz $EFS dla któregoś z plików.

 

Wszystko spakuj 7-zipem (z hasłem) i udostępnij gdzieś, a hasło możesz podesłać via pm.

 

Przygotowanie narzędzia, które mógłbym udostępnić szerzej może mi zająć trochę czasu, więc na razie nic więcej nie mogę pomóc.

Odnośnik do komentarza

Zapowiada się bardzo dobrze - na podstawie podesłanych przez Ciebie danych wygląda na to, że udało mi się odzyskać klucz prywatny RSA, który był wystawiony razem z certyfikatem EFS :)

Spróbowałem odszyfrować podesłany przez Ciebie plik i w wyniku mam coś, co również wygląda na zaszyfrowany plik z nagłówkiem: "K2T.File.Encrypted:1.0". Ma to sens? Możesz podesłać jakiś czytelniejszy plik jako próbkę? :) (oczywiście wraz z odpowiadającym mu strumieniem $EFS - każdy plik ma osobny FEK!)

 

m.

Odnośnik do komentarza

Bardzo dobra robota :)

Udało mi się odzyskać certyfikaty z poprzedniej instalacji w następujący sposób:

1. Stworzyłem wirtualną maszynę i zainstalowałem na niej windowsa.

2. Upewniłem się że SID użytkownika był taki sam jak w poprzedniej instalacji czyli w moim wypadku 1001 jak i nazwa i hasło użytkownika. (SID można sprawdzić wpisując w wierszu poleceń "wmic useraccount get name,sid")

3. Zmieniłem SID komputera programikiem który znalazłem w internecie na ten który był na starej instalacji. Restart kompa. (jeśli komuś potrzebny to proszę pisać na maila ;)

4. Zanim cokolwiek kombinowałem z certyfikatami przekopiowałem z kopii zapasowej plików foldery ze wszystkimi zawartymi plikami

"C:\Users\Aaros\AppData\Roaming\Microsoft\Protect"

"C:\Users\Aaros\AppData\Roaming\Microsoft\Crypto"

"C:\Users\Aaros\AppData\Roaming\Microsoft\SystemCertificates\My"

do systemu w wirtualnej maszynie. Restart kompa.

5. W uruchom wpisałem "certmgr.msc". Menedżer certyfikatów odpala się bez problemu. Można bez problemu wyeksportować swój stary certyfikat z kluczem prywatnym.

6. Zaimportowałem certyfikat na moim nowym systemie i wszystko śmiga :)

mgrzeg odwalił kawał dobrej roboty, gdyż odszyfrował plik na podstawie tych plików.

Temat do zamknięcia.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...