Казахстанские технические форумы
Программное обеспечение => Системное программное обеспечение (WINDOWS) => Тема начата: Killer_Boy® от 08 Октября 2013, 23:37:48
-
Добрый день!
Для начала хочу прояснить, что куда и зачем
Encrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium). Данная система предоставляет возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.
А теперь ближе к теме: На одном компьютере человек произвел данное шифрование, т.е. зашифровал все и вся. Не разбираясь в деталях данного процесса напрочь привязал свои файлы к операционной системе. Система кстати была Windows XP SP3 какая-то сборка. С моей помощью диск объемом 80Gb был разбит на две части и жизненно важные данные как полагается расположились на соседнем логическом диске, назовем его условно DISTR. Вместо старой ОС была установлена ОС Win7Pro 32-bit. Через некоторое время выясняется, что все файлы, если их просматривать в проводнике отмечены зеленым цветом, т.е. зашифрованы.
Так вот теперь с файлами нельзя проводить никаких манипуляций. Они просто лежат мертвым грузом. Открыть их не получается. Просмотреть их HEX также не получается. Переместить нельзя (имеется ввиду на другой носитель).
Были предприняты попытки дешифровать файлы, использовалась программа Advanced EFS Data Recovery (http://www.elcomsoft.ru/aefsdr.html), но так как диск был отформатирован, то от этой проги толку мало, хотя производитель обещает чудеса. Данная прога была испытана в искусственно созданной ситуации, результат не заставил себя долго ждать. Оговорюсь, что в ситуации шифровался файл в WinXP SP3, к которому не было доступа в Win7 Pro, но ПО шустро нашла все ключи на диске, пространство которого занимала ОС WinXP SP3
Внимание вопрос: Существует ли какая-нибудь возможность восстановить доступ к файлам?
Забыл упомянуть, что сканирование при помощи R-Studio не принесло никаких результатов. Много файлов восстанавливает, но все они бесполезные. Advanced EFS Data Recovery не находит нужного ключика.
Где-то в интернете вычитал, что можно при помощи других FS достучатся до файлов путем переноса, возьмем, к примеру, ext3 - Third Extended File System
Third Extended File System (третья версия расширенной файловой системы), сокращённо ext3 или ext3fs — журналируемая файловая система, используемая в операционных системах на ядре Linux, является файловой системой по умолчанию во многих дистрибутивах. Основана на ФС ext2, начало разработки которой положил Стивен Твиди.
Но и в подобных системах доступа к файлам нет.
Если у кого-то был опыт в данном вопросе и есть пути решения проблемы, милости просим принять участие в обсуждении данной темы.
Благодарю!
P.S.: Хозяин компьютера понятия не имеет в шифровании и на вопрос "А кто мог зашифровать файлы", отвечает "Ума не приложу". Вот такой вот каламбур!
-
Может пригодиться.
Восстановление данных
EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц. Ресурс. (http://www.ixbt.com/storage/efs.html)
Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке, однако обратная операция не приведет к автоматической расшифровке файлов, файлы необходимо явно расшифровать. Не могут быть зашифрованы файлы с атрибутом Системный и файлы в системном каталоге. Шифрование папки или файла не защищает их от удаления — любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS. Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование.Ресурс. (http://www.windxp.com.ru/Encryption.htm)
Часто недостатком шифрования с помощью EFS считают невозможность транспортировки зашифрованных данных, т.е. записать данные на «болванку», не потеряв их секретность, не удастся. Но это не совсем так — действительно, просто записать их нельзя, но можно воспользоваться программой архивации для Windows XP — NTBackup, в этом случае данные будут скопированы на указанный носитель без дешифрования, причем носитель может не поддерживать NTFS 5.0. После восстановления зашифрованные данные остаются в зашифрованном виде. Ресурс. (http://www.windxp.com.ru/Encryption.htm)
http://www.xakep.ru/post/26691/default.asp (http://www.xakep.ru/post/26691/default.asp)
http://www.xakep.ru/post/26280/default.asp (http://www.xakep.ru/post/26280/default.asp)
-
Ссылки на материалы в предыдущем посту позволяют сделать несколько выводов.
Первый - В случае бездумного использования обычным пользователем шифрования файлов и последующей переустановкой оси, восстановить данные в 99% случаев не возможно.
Второй - Если вы все таки решили шифровать ваши данные - без предварительной подготовки, импорта\экспорта ключей, а самое главное - без контроллера домена в домашних условиях - лучше не использовать EFS ни в коем случае. Это в первую очередь технология для корпоративных пользователей и системных администраторов организации, а не для бытового использования.
Третий - Далеко не факт, что описанный по ссылкам метод восстановления файлов сработает. По крайней мере ни один пострадавший таким образом юзер не отписался об успешном применении метода. А иначе бы уже на каждом шагу выложили утилиты для взлома EFS.
-
В общем восстановить файлы не получается, так как была установлена другая система поверх прошлой операционки, теперь файлы лежать мертвым грузом, ожидая лучших времен. А пока могу предложить вам программное обеспечение, я уже говорил о нем выше, оно как заявляет производитель должно помочь, если у вас ни все так запущено. Вот ссылка (http://dfiles.ru/files/ky72hk7pg) на Advanced EFS Data Recovery Professional версии 4.43.43, серийный номер внутри архива. Удачи!
-
А пока могу предложить вам программное обеспечение, я уже говорил о нем выше, оно как заявляет производитель должно помочь, если у вас ни все так запущено. Вот ссылка (http://dfiles.ru/files/ky72hk7pg) на Advanced EFS Data Recovery Professional версии 4.43.43, серийный номер внутри архива. Удачи!
Killer_Boy®, за прогу спасибо. Я могу лишь констатировать, что с тестовой папкой он справился. Кстати, если у кого ключи не находит, то попробуйте посекторный режим поиска. Попробую погонять на виртуалках.