Obtendo a chave privada EFS fora da imagem do sistema

Navegue suas respostas
3

Eu tive que reinstalar recentemente o Windows 7 e perdi minha chave privada exportada para o EFS. No entanto, tenho a totalidade do meu diretório de usuários e acho que a chave deve estar lá em algum lugar. A única questão é como tirá-lo.

Eu encontrei as chaves PUBLIC em AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Certificates Se eu importá-los usando o certmg.msc, ele diz que tenho a chave privada nas informações, mas se eu tentar exportá-las, ele diz que não tenho a chave privada. Além disso, a descriptografia de arquivos não funciona.

Há também uma pasta "keys" em AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Keys. Depois de importar os certificados, copio-os para a minha nova instalação, mas isso não tem efeito.

Estou começando a acreditar que eles estão em AppData \ Roaming \ Microsoft \ Protect \ S-1-5-21 -... \ ou AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21 -... \ mas não tenho certeza de como usar os arquivos nessas pastas. Além disso, como meu SID mudou, poderei usá-los? As outras partes da conta permaneceram as mesmas (nome e senha). Eu também tenho acesso completo à seção de registro do usuário e a maioria dos arquivos de sistema antigos (incluindo as seções de registro do sistema antigo).

Continuo vendo referências a "Key Recovery Agent", mas não encontrei nada sobre o uso, só que ele pode ser usado.

Obrigado!

    
por thaimin 01.11.2013 / 01:04

2 respostas

4

Descobri que sua senha de usuário, user + SID da máquina e um salt são usados para criptografar a senha mestra (armazenada em AppData \ Roaming \ Microsoft \ Protect) que, por sua vez, é usada para criptografar todas as chaves privadas com outra. sal (em AppData \ Roaming \ Microsoft \ Crypto \ RSA). Existem alguns guias sobre o formato básico dos arquivos nessas pastas e como eles são criptografados. No entanto, faltam peças para que uma solução completa leve ajustes.

Uma solução gratuita é criar uma máquina com a mesma máquina SID (precisa usar o XP e o programa newsid - newsid não funciona no Vista e depois) e então um usuário com o mesmo SID, copia os arquivos (o a totalidade da pasta Crypto, Protect e System Certificates) e exporte a partir daí. Eu fiz isso com uma máquina virtual.

Estes assumem que você tem acesso a todos os arquivos originais. O programa Elcomsoft Advanced EFS Data Recovery, mencionado por Brian, também pode pesquisar setor por setor para obter informações adequadas. Também não requer a criação de uma nova instalação ou a refazer o SID. Então, para a maioria dos casos, um deles será MUITO mais fácil, no entanto, para pessoas que querem fazê-lo gratuitamente, veja acima.

    
por 08.11.2013 / 00:08
2

Os certificados / chaves etc armazenados no perfil antigo são protegidos / criptografados pela senha do usuário com algumas outras informações. Então você precisa encontrá-los e descobrir uma maneira de descriptografá-los.

A Elcomsoft oferece um programa para pesquisar e descriptografar. Elcomsoft - Recuperação Avançada de Dados EFS (próximo ao fim da página), mas com o trabalho você pode realizar o mesmo usando guias on-line, é muito mais trabalho.

    
por 01.11.2013 / 10:47

Tags

Recuperação de dados de um USB com sistema de arquivos exFAT que passou RAW AirPrint e AirPlay no FreeNAS