Ok, esta é uma pergunta estranha:
Como os arquivos criptografados (EFS) do Windows 7 (Home Premium) se parecem "de fora"?
Agora aqui está a história. Um conhecido de um amigo meu tem um vírus / scareware desagradável. Então peguei meu boné de técnico de PC e fui trabalhar nele. O que fiz foi remover a unidade do laptop e colocar a unidade no compartimento da unidade externa. Eu fiz a varredura da unidade e sim, ela estava carregada de coisas. Isso basicamente curou a infecção e eu pude reiniciar o sistema.
Para verificar se o problema foi resolvido, quis ver o sistema durante a execução. Lá, onde duas contas de usuário, com uma senha e outra sem (ambos os usuários admin!?!). Então eu entrei no usuário desprotegido e limpei os problemas residuais, como o servidor proxy para localhost na configuração do navegador. Agora eu queria fazer o mesmo com o usuário protegido por senha.
O que notei foi que, do meu sistema e da conta de usuário desprotegida, os arquivos do usuário protegido pareciam distorcidos. Os arquivos são algo como 12 caracteres alphanum aleatórios, mas as pastas pareciam ok. Ingênuo, como se acreditava, pode ser como os arquivos criptografados pareciam "do lado de fora". (Eu nunca uso os recursos de segurança da própria Microsoft, então como eu poderia saber. O TrueCrypt é uma grande bolha.)
Como o segundo usuário não pôde ser encontrado, gravei-o e removi a senha da conta. (Isso pode ter sido um erro, eu sei). Agora eu fiz as mesmas tarefas de limpeza e tudo de bom e bom; exceto os arquivos que ainda "criptografados".
Por isso, examinei muitas postagens de recuperação do Windows Encrypted Files e nem toda a esperança foi perdida, pois seria possível extrair o certificado e, com a senha, recuperar o acesso aos arquivos. Observe também que o windows "apenas" me avisou que remover a senha seria inseguro, e não que o acesso a arquivos criptografados seria perdido, como é reivindicado na maioria dos artigos de recuperação. Redefinir a senha não ajudou e desisti da noite.
A pergunta que me incomodou metade da noite passada foi: e se os arquivos não forem criptografados, mas os produtos assustados criptografaram / destruíram os arquivos? Eu não quero gastar horas de trabalho tentando recuperar arquivos que não são recuperáveis. O fato é que o usuário não se lembra de ativá-lo e os arquivos não estão marcados em azul e o nome do arquivo é legível?
Muito obrigado pela contribuição de usuários com mais conhecimento sobre o Windows EFS ...
Ok, foram necessárias algumas pesquisas e algumas tentativas. Mas encontrei a resposta para a minha pergunta:
Files that are encrypted with Windows EFS are green and the filename
is unaltered. This is true when authenticated or not.
Pena pelo usuário que perdeu os arquivos, não com backup.
Os arquivos criptografados parecem dados aleatórios com alta entropia. Se eles se parecessem com algo, você saberia que eles são criptografados, com qual algoritmo e até mesmo quais dados foram criptografados, o que derrotará a finalidade da criptografia.
Esta é uma pergunta antiga, mas acho que vale a pena adicionar:
Sim, no Explorer, eles parecem verdes (supondo que você tenha habilitado "mostrar arquivos criptografados e compactados em cores alternativas") e os nomes dos arquivos não ficarão distorcidos. (Portanto, esteja ciente de que os nomes dos arquivos podem vazar informações).
Se você tentar abrir um sem acesso ao certificado EFS que protege a chave de sessão (basicamente, se você não estiver logado como o usuário que criptografou o arquivo), você não verá o conteúdo criptografado. Sua tentativa de abertura simplesmente falhará, como se você tivesse sido negado o acesso ao arquivo por meio de sua ACL. (Isso é muito fácil de testar se você pode criar uma segunda conta em sua máquina.)
Se você tiver acesso ao certificado EFS, o arquivo simplesmente funcionará como um arquivo normal. Você não executa uma etapa de "descriptografia" separada para usar o arquivo.