Odzyskiwanie EFS z kopii zapasowych plików rejestru?

4

Oto co mam:

  • Wykonano kopię zapasową zaszyfrowanych plików
  • Kopie zapasowe plików rejestru (ntuser.dat)
  • hasło

Oryginalny system operacyjny (Windows XP) obsługujący zaszyfrowane pliki EFS zniknął. Nie mam kopii zapasowej pliku klucza.

Czy możliwe jest odzyskanie zaszyfrowanych plików za pomocą obecnych elementów?

Edytować: Próbowałem aefsdr z elcomsoft, ale nie widziałem żadnego sposobu na skierowanie go do korzystania z pliku rejestru. Ponadto nie znalazł żadnych zaszyfrowanych plików, prawdopodobnie dlatego, że identyfikujące je atrybuty są nieobecne.

Joel Harris
źródło
Czy komputer był członkiem domeny? Jeśli tak, certyfikat agenta odzyskiwania znajduje się na kontrolerze domeny.
Scott McClenning
Nie był członkiem domeny. Dzięki za twój wkład, Scott.
Joel Harris
Szukałem gdzie Windows przechowuje certyfikaty EFS, ale myślę, że go nie masz. Czytałem, że ntuser.dat ma odcisk palca do certyfikatów, ale nie rzeczywiste certyfikaty. Słyszałem, że ludzie próbują brutalnie wymusić certyfikaty, ale prawdopodobnie można się domyślić, jak długo to potrwa. Przepraszam i powodzenia.
Scott McClenning

Odpowiedzi:

1

Pliki certyfikatów EFS można znaleźć w „% userprofile% Dane aplikacji Microsoft Certyfikaty systemu Windows Moje certyfikaty”. Jeśli masz katalog Dokumenty i ustawienia ze starego komputera, masz kopię zapasową certyfikatów. Są one przechowywane w jednym pliku, nazwanym odciskiem palca, bez rozszerzenia.

W moim szybkim teście mogłem je przenieść, sprawdzić, czy certyfikat EFS zniknął, a pliki EFS były niedostępne, a następnie przenieść je z powrotem na ten sam komputer i mieć szczęście. Czy to będzie działać między dwiema maszynami, których jeszcze nie testowałem. Nie wiem, w jakim formacie są przechowywane te certyfikaty.

Na marginesie, możesz również użyć cert: CurrentUser My under Powershell, ale wymaga to systemu na żywo, więc prawdopodobnie nie ma związku z bieżącym pytaniem.

Monban
źródło