-1

Хорошо, это довольно странный вопрос:

Как выглядят зашифрованные файлы Windows 7 (Home Premium) (EFS) "извне"?

Теперь вот история. Один мой знакомый получил неприятный вирус / пугало. Поэтому я вытащил свою фуражку и начал работать над ней. Я снял диск с ноутбука и вставил его в отсек для внешнего диска. Я сканировал диск, и да, он был загружен материалом. Это в основном вылечило инфекцию, и я мог запустить систему обратно.

Чтобы проверить, излечила ли она проблему, я хотел увидеть систему во время работы. Там, где две учетные записи пользователей, с паролем и одна без (обе пользователи администратора!?!). Поэтому я вошел в систему незащищенного пользователя и очистил остаточные проблемы, такие как прокси-сервер на локальный хост в конфигурации браузера. Теперь я хотел сделать то же самое для защищенного паролем пользователя.

Что я заметил, что из моей системы и незащищенной учетной записи файлы защищенного пользователя выглядели искаженными. Файлы представляют собой что-то вроде 12 случайных буквенных символов, но папки выглядят нормально. Наивно, как считалось, может показаться, что зашифрованные файлы выглядят "снаружи". (Я никогда не использую собственные функции безопасности Microsoft, поэтому откуда мне знать. TrueCrypt - это один большой объект.)

Поскольку второй пользователь не может быть достигнуто, я, хотя sod его и удалил пароль от учетной записи. (Это могло быть ошибкой, я знаю.) Теперь я выполнял те же задачи по очистке, и все было хорошо и хорошо; за исключением файлов, которые еще "зашифрованы".

Поэтому я просмотрел множество постов по восстановлению зашифрованных файлов Windows, и не вся надежда потеряна, так как я должен иметь возможность извлечь сертификат и восстановить доступ к файлам с помощью пароля. Также обратите внимание, что Windows "только" подсказывает мне, что удаление пароля будет небезопасным, а не то, что доступ к зашифрованным файлам будет потерян, как утверждается в большинстве статей по восстановлению. Сброс пароля не помог и я на ночь сдался.

Вопрос, который мучил меня половину прошлой ночи, заключался в том, что, если файлы не зашифрованы, а программа-зашифровщик зашифровала / уничтожила файлы? Я не хочу тратить часы работы, пытаясь восстановить файлы, которые невозможно восстановить. Дело в том, что пользователь не помнит, чтобы он был включен, и файлы не помечены синим цветом, а имя файла читаемо?

Большое спасибо за вклад от пользователей, которые имеют больше знаний о Windows EFS ...

3 ответа3

2

Хорошо, это потребовало некоторых исследований и некоторых попыток. Но я нашел ответ на свой вопрос:

Files that are encrypted with Windows EFS are green and the filename 
is unaltered. This is true when authenticated or not.

Жаль пользователя, который потерял свои файлы, а не резервную копию там.

1

Зашифрованные файлы выглядят как случайные данные с высокой энтропией. Если бы они выглядели как-то, вы бы знали, что они зашифрованы, с помощью какого алгоритма и даже какие данные были зашифрованы, что противоречит самой цели шифрования.

1

Это древний вопрос, но я думаю, что стоит добавить:

Да, в Проводнике они выглядят зелеными (при условии, что вы включили "показывать зашифрованные и сжатые файлы другим цветом"), а имена файлов не искажаются. (Так что имейте в виду, что сами имена файлов могут пропустить информацию.)

Если вы попытаетесь открыть его без доступа к сертификату EFS, который защищает ключ сеанса (в основном, если вы не вошли в систему как пользователь, зашифровавший файл), вы не увидите зашифрованное содержимое. Ваша попытка открытия просто не удастся, как если бы вам было отказано в доступе к файлу через ACL. (Это довольно легко проверить, если вы можете создать вторую учетную запись на вашем компьютере.)

Если у вас есть доступ к сертификату EFS, то файл работает как обычный файл. Вы не выполняете отдельный шаг "расшифровки" для использования файла.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .