РЕДАКТИРОВАТЬ: кажется, что раздел зашифрован с помощью программного обеспечения полного шифрования диска, которое использует TPM - я не вижу другого способа, которым раздел может выглядеть, как будто он полностью зашифрован, в то же время, компьютер загружается просто отлично без какой-либо аутентификации при загрузке. Если это так, мне не повезло вернуть файлы? Есть идеи?

Моя ситуация следующая:

  1. не предвидя последствий, я удалил присоединенную к домену учетную запись Windows из домена
  2. кажется, это сделало учетную запись пользователя недоступной - это не позволило мне войти с парой имя пользователя-пароль, которая ранее работала нормально
  3. Я загрузил компьютер с Ubuntu Live CD, однако mount не удалось выполнить в разделе (/dev/sda1), и gparted сообщает, что не может распознать файловую систему раздела.
  4. Я написал быстрый скрипт на Python, чтобы увидеть, содержит ли раздел какие-либо последовательности ASCII, но единственное, что смог найти скрипт, это короткая строка ASCII, связанная с начальной загрузкой, в самом начале раздела; с тех пор он был просто двоичным (для сравнения, я запустил один и тот же сценарий для раздела, который, как известно, не зашифрован и дал много результатов, поэтому можно с уверенностью предположить, что сценарий не является неисправным; здесь он : http://pastebin.com/7Pn5rrvZ ; он должен обрабатывать около 15-20 МБ / с данных в PyPy 2.0)

Я скопировал необработанный образ dd раздела на другой (OS X) компьютер, а затем преобразовал его в формат VMDK, используя qemu-img , но Parallels не смог смонтировать образ.

Я знаю, что в процессе установки dd -раздела раздела на внешний жесткий диск вместо этого я монтирую этот физический раздел (в отличие от образа диска) на моем Parallels, работающем под управлением Windows 7, чтобы посмотреть, смогу ли я тогда каким-то образом попытаться получить доступ к разделу.

Положительным моментом является то, что у меня есть старая резервная копия системы, содержащая домашний каталог ранее присоединенной к домену учетной записи пользователя, который также содержит Application Data\Microsoft\Crypto , Application Data\Microsoft\Protect и данные приложения \Microsoft \ Папки Application Data\Microsoft\systemcertificates , которые должны быть там, где Windows хранит какие-то сертификаты или ключи шифрования. Исходя из этого, я предположил, что раздел был зашифрован с помощью встроенного механизма EFS, а не какого-либо стороннего инструмента шифрования.

Это раздел Windows XP, для записи.

Я ищу предложения о том, как идти о восстановлении файлов из раздела.

Список файлов, связанных с EFS в старой резервной копии, находится здесь: http://pastebin.com/raw.php?i=h9J5rgvk

PS это весь РАЗДЕЛ Я не могу получить доступ не только к папке на нем. Кроме того, я не уверен на 100%, что он зашифрован EFS; Я не смог определить, способна ли EFS шифровать весь раздел.

0