Възстановяване на пароли за EFS
Chastistati първия път, когато говорихме за възстановяване на паролата за потребителски акаунт, когато се работи с операционните системи Windows XP / Vista / 7 и възстановяване на пароли за електронна поща и интернет сайтове. Следващата задача, която често се налага да се справят с в разследването на инциденти, е да се възстанови пароли за файлове, електронна поща и EFS (шифрованата файлова система). Това ще бъде обсъдено в тази статия.
Много често ние сме в изследването на компютри да наблюдаваме ситуация, в която в продължение на една или друга причина е отнет достъпът до папки или файлове, които се шифрова с EFS (шифрованата файлова система). И често той забравя да извършва сертификата на потребителя да възстанови или да преинсталирате системата, не се дешифрират предварително съответните файлове и папки или експортирате сертификата. Как да бъдем в този случай?
EFS използва Windows CryptoAPI архитектура. Тя се основава на публичен ключ за криптиране. За кодиране на всеки файл ключ произволно генериран криптиране на файлове. В този случай, на самия файл е криптиран с помощта на който и да е симетричен алгоритъм за криптиране. В момента се използва за тази DESX алгоритъм, който е специална модификация на DES.
операции криптиране и декриптиране се поддържат за файлове и директории. В този случай, ако криптирана папка автоматично криптира всички файлове и поддиректории на тази директория. Трябва да се отбележи, че ако криптиран файл се преместите или преименувате от криптирана папка, за да нешифрованата, тя все още остава кодирано. операции кодиране / декодиране могат да се извършват по два различни начина - с помощта на Windows Explorer или конзола Cipher полезността.
Криптирани файлове се съхраняват на диска в шифрован вид. Когато четете данните автоматично се дешифрират файл, и докато писане - е криптирана автоматично.
За криптиране схема се използва в публичния ключ на EFS. В този случай, данните се шифроват при симетричен алгоритъм, използващ произволно генериран ключ FEK определена дължина. FEK е криптирана с една или повече общи ключове за криптиране, което води до списък с криптирани ключове FEK. Списък криптирана FEK се съхранява в специална EFS атрибут наречен DDF (област разшифроването на данни - област разшифроването на данните). Информацията, използвана за извършване криптиране на данните. здраво свързан с файла. Общи ключове открояват от X509 потребителски сертификат ключови двойки с допълнителна възможност да използвате криптиране на файлове. Частните ключове на тези двойки се използват за дешифриране на данните и FEK.
FEK също се криптира с помощта на един или повече възстановяването ключ (получен от удостоверението X509, записана в криптиран политиката за възстановяване на данни за компютъра, с допълнителна възможност за възстановяване на файла).
Всъщност правилното нещо в тази ситуация е да се възстанови паролата на потребителя. Тогава разшифровате EFS ще бъде много по-лесно, ще се върна към това. Въпреки това, ние трябва да осъзнаем, че дори ако нямате парола, можете да се опитате да разчитам на съответните файлове и папки. За да направите това, използвайте софтуера Advanced EFS Data Recovery.
Този софтуер е създаден за ваше удобство съветника Advanced EFS Data Recovery, с която ще можете да преминете през целия процес на декриптиране. Или можете да използвате "експертът Mode" за извършване на самото действие.
По мое мнение, ако човек използва Advanced EFS за възстановяване на данни, се чувства уверен, по-удобно да се използва Advanced EFS Data Recovery Wizard. Помислете за този вариант по-подробно.
В първия етап на съветника система Advanced EFS Data Recovery ще поиска личен сертификат. Използва се за EFS.
Да предположим, че имате сертификат (ситуацията е изключително рядко, защото хората по някаква причина се пренебрегва или износ сертификати, или просто да забравят къде се изнася). В този случай, всичко е съвсем проста. От вас се изисква да изберете файла със сертификата и въведете паролата на сертификата. На следващо място, търсене на всички криптирани с помощта на папки и файлове на местните секции. Можете да получите списък на криптирани файлове с данни сертификат, който може да бъде разшифрован. Разбира се, в случай на изследвания на компютъра ще трябва да разшифровате на твърдия диск или други външни медии. така че да не се повреди нещо.
Но какво, ако не разполагате с удостоверение? В този случай, капитанът Advanced EFS Data Recovery предлагаме да го търсим на твърдия ви диск. Моля, имайте предвид, че вие ще бъдете в състояние да търсите за сертификата, не само в съществуващия файл, но сред дистанционно. Но за това трябва да включите в квадратчето "Scan сектор-мъдър." Препоръчително е да се включи в този режим при повторно сканиране, ако първото преминаване не можете да намерите необходимите сертификати.
Следващия път, когато се вземат много ключове за търсене. Като резултат от търсенето ще се покаже съветника. Ако не бъде намерен ключът, трябва да въведете потребителско име (EFS собственик) и паролата си, или в краен случай HEX-код. Как да получите паролата на потребителя е описано в предишната статия.
Ако знаете паролата на потребителя, трябва да въведете името на съответния акаунт и парола, и кликнете върху "Напред". Освен това има и декриптиране на намерените файлове и папки, шифровани с EFS. Както можете да видите, дори и ако не сте инсталирали повторно операционната система, това не означава, че сте загубили данни, които се шифрова с EFS.
Не забравяйте, че ако знаете името и паролата на сметката, при които криптира. процес разшифроване ще отнеме много по-малко време. В противен случай, можете да се опитате да приложат разшифроването на експертна готовност. Въпреки, че аз трябва да призная, че вероятността за положителен резултат в този случай е много по-ниска. Вие ще бъдете подканени да добавите парола от речника. Естествено, като се смята, че в речника на файлове, които имате.
Бих искал да отбележа следното. Както можем да видим, сега са доста мощни инструменти за възстановяване (хакерство) пароли. Следователно, за да се гарантира тяхната стабилност, ние имаме три възможности:
- По-нататък се увеличи дължината и сложността на (по мое мнение, начина, по който безизходни, защото рано или късно, броят на потребителите започва да се бърка, забрави пароли, използвайте една и съща за всички поводи, и така нататък. Г.).
- Използването на биометрична идентификация.
- Използването на мулти-фактор удостоверяване и сертификати. Този път отново, по мое мнение, това е много по-обещаващ, но си струва да се има предвид, че предложените решения, разбира се, струват пари, а понякога значително.
Избор, разбира се, зависи от вас.
версия за печат