3

Мне пришлось недавно переустановить Windows 7, и я потерял свой экспортированный закрытый ключ для EFS. Тем не менее, у меня есть весь каталог пользователей, и я решил, что ключ должен быть где-то там. Вопрос только в том, как это сделать.

Я нашел ключи PUBLIC в AppData\Roaming\Microsoft\SystemCertificates\My\Certificates. Если я импортирую их с помощью certmg.msc, он говорит, что у меня есть закрытый ключ в информации, но если я пытаюсь экспортировать их, он говорит, что у меня нет закрытый ключ. Кроме того, расшифровка файлов не работает.

Также есть папка "keys" в AppData\Roaming\Microsoft\SystemCertificates\My\Keys. После импорта сертификатов я копирую их в мою новую установку, но это не имеет никакого эффекта.

Я начинаю верить, что они находятся либо в AppData\Roaming\Microsoft\Protect\S-1-5-21 -...\, либо в AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21- .. .\ но я не уверен, как использовать файлы в этих папках. Кроме того, так как мой SID изменился, смогу ли я использовать их? Остальные части учетной записи остались прежними (имя и пароль). У меня также есть полный доступ к кусту реестра пользователей и большинству старых системных файлов (включая старые кусты системного реестра).

Я продолжаю видеть ссылки на "Агент восстановления ключей", но не нашел ничего об использовании, только то, что он может быть использован.

Спасибо!

|источник

2 ответа2

4

Я обнаружил, что ваш пароль пользователя, SID пользователя + компьютера и соль используются для шифрования мастер-пароля (хранится в AppData\Roaming\Microsoft\Protect), который, в свою очередь, используется для шифрования всех закрытых ключей с другой солью (в AppData\Roaming\Microsoft\Crypto\RSA). Существует несколько руководств по базовому формату файлов в этих папках и их шифрованию. Однако, есть недостающие части, поэтому для полного решения потребуется возиться.

Бесплатное решение состоит в том, чтобы создать машину с тем же SID компьютера (необходимо использовать XP и программу newsid - newsid не работает в Vista и более поздних версиях), а затем пользователя с тем же SID, скопировать файлы (полностью Папки Crypto, Protect и System Certificates) и экспортируйте их оттуда. Я сделал это с виртуальной машиной.

Предполагается, что у вас есть доступ ко всем исходным файлам. Упомянутая Брайаном программа Elcomsoft Advanced EFS Data Recovery также может искать нужную информацию по секторам. Это также не требует создания новой установки или изменения SID. Так что в большинстве случаев это будет НАМНОГО проще, однако для людей, которые хотят сделать это бесплатно, см. Выше.

|источник
2

Сертификаты / ключи и т.д., Хранящиеся в старом профиле, защищены / зашифрованы паролем пользователя, хешированным с некоторой другой информацией. Так что вам нужно найти их и найти способ расшифровки.

Elcomsoft предлагает программу для поиска и расшифровки. Elcomsoft - Advanced EFS Data Recovery (в нижней части страницы), но с работой вы можете сделать то же самое самостоятельно, используя онлайн-руководства, это просто намного больше работы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .