恥ずべき直接コピー/ペーストEFS暗号化ファイルの復号化に関する記事:

tag-icon tag-icon windows windows-7 windows-10 encryption efs
恥ずべき直接コピー/ペーストEFS暗号化ファイルの復号化に関する記事:

最終編集: すべては EFS 暗号化に帰着しました。証明書、秘密鍵など何も持っていませんでしたが、ありがたいことに、windows.old には AppData フォルダーがあり、そこで受け入れられた回答のガイドに従うために必要なファイルを取得できました。これが私の場合はうまくいきました。

また、私はパスワードを持っていませんでしたが、コンピュータのユーザーはパスワードを使用していなかったので、ガイドに記載されている空のパスワードハッシュが機能しました。デバッグのために私が行った他のことの詳細については、チャット

編集:私は提案された両方のコマンドを試しました回答質問しましたが、私の場合は機能せず、失敗せず、実行され、所有権が変更されましたが、ファイルへのアクセスが拒否されます。

みなさん、良い一日を、

この問題には、Windows の「ドキュメント」フォルダが含まれているため、適切な質問の仕方さえわかりません。Google で検索すると、あらゆる種類のドキュメントに関する結果が大量に表示されます。とにかく、自分の状況を説明して、何かできることはないか調べてみます。

この人は私の父のWindowsコンピューターをWindows 7からWindows 10にアップグレードしました。どうやってアップグレードしたのかはよくわかりませんが、Windows.oldフォルダーがあり、その中にファイルにアクセスできないフォルダーがあり、これが私の父がアクセスする必要があるものです。これは何年もの作業ですインターネット上で解決策が見つからないので、ここで質問しています。

スクリーンショットも添付しているので、ユーザー名だけ入力します。この時点では、セキュリティについてはあまり気にしておらず、ファイルにアクセスできればよいだけです。フォルダは「C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos」で、これはスペイン語の Windows です。

何年も前にこの問題に直面したことがありましたが、古いハードドライブを新しいものに交換したので、古いドライブには以前のバージョンの Windows が残っていました。そこで、古いドライブでコンピューターを起動し、「Documentos」フォルダーをコピーするのではなく、「Documentos」フォルダー内のすべてのドキュメントを外部ドライブにコピーしました。それだけで完了です。非常に簡単です。この場合、古い Windows インストールは利用できません。このユーザーは、同じハードドライブで Windows 7 を Windows 10 に置き換えただけです。

とにかく、問題に戻ると、「C:\Windows.old\Usuarios\MARTIN CAMPOS」内のどこのファイルにもアクセスできますが、「C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos」とそのサブフォルダー内のファイルのみにアクセスできず、アイコンにロックが表示されます。

スクリーンショット

私はこのビデオの解決策を試しました:https://www.youtube.com/watch?v=sciON4DvGpY、それは有望に見えましたが、うまくいきませんでした。

ユーザーにフォルダーへのトータルコントロールを付与したり、所有者を変更したり、考えられるあらゆることを試してみました。 ここに画像の説明を入力してください

しかし、運が悪く、権限が同じに見えず、チェックマークがグレー表示されていることに気が付きました。

ここに画像の説明を入力してください

太字の黒の代わりに:

ここに画像の説明を入力してください

これが何か関係があるかどうかはわかりません。ファイルに対して表示されるエラーは「アクセスが拒否されました」です。

ここに画像の説明を入力してください

しかし、確かにこれは私が抱えている問題です。何かできることはありますか? どんな助けでも大歓迎です。

編集

icacls の出力: (最後の行。すべてのファイルで同じです)

archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46-2.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SAT.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATaclaracion.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATactualizaciondeoblig.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATsuspensióndeactividadesYAMB.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\Acuse_renovacionZAPM.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7 CAMBIO DE DOMICILIO.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\SAT RESICOzapm.pdf
Se procesaron correctamente 16334 archivos; error al procesar 0 archivos

これは「16334 個は正しく処理されましたが、0 個のファイルの処理中にエラーが発生しました」と解釈されます。

Windows にログインしている現在のユーザーを含む、フォルダー外にファイルをコピーしようとしたときにエラーが発生しました:

ここに画像の説明を入力してください

これは、「このアクションを実行するには権限が必要です / このファイルに変更を加えるには、DESKTOP-AUKOJ78/Campos からの権限が必要です。」と翻訳されます。

コマンドを実行して得られた結果icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents":

C:\Windows\system32>icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"

C:\Windows.old\Users\MARTIN CAMPOS\Documents APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(F)
                                             APPLICATION PACKAGE AUTHORITY\TODOS LOS PAQUETES DE APLICACIÓN RESTRINGIDOS:(OI)(CI)(F)
                                             DESKTOP-AUKOJ78\Campos:(OI)(CI)(F)
                                             Everyone:(OI)(CI)(RX)
                                             BUILTIN\Administradores:(OI)(CI)(F)
                                             NT AUTHORITY\SYSTEM:(OI)(CI)(F)

Se procesaron correctamente 1 archivos; error al procesar 0 archivos

詳細情報を編集

そこで提案に従ってChkDskを実行しましたC: /オフラインスキャンと修正元々 Windows 7 で同じユーザー名で新しいユーザーを作成しましたが、何も機能していないようです。また、1 つのファイルのアクセス許可を操作して、ブロックを解除したりしてみましたが、何も機能していないようです。黄色の南京錠は削除されません。

ここに画像の説明を入力してください

私に残されたのは、Windows 7 に戻すことと、Linux を試すことだけですが、これらを試すことができるのは、物理 CPU を入手したときだけです。

その間、リモートに関するさらなる提案は大歓迎です。

編集3 UBUNTUスクリーンショット

そこで、2018 年 2 月 3 日頃以前の特定の日付以前に作成または変更されたファイルしか開けないことに気付きました。

これは携帯電話で撮影した写真で、「アクセスが拒否されました」というエラーが表示されています。また、2018 年 2 月 3 日に作成されたファイルを開くことができます。

ウブントゥ

答え1

恥ずべき直接コピー/ペーストEFS暗号化ファイルの復号化に関する記事:

チャットを確認する(質問のコメントの下) Windows の右上の金色の南京錠は EFS ファイルを示しているようです。w32sh 投稿1つのフォーラムへのリンクこの記事を修正することを提案し、OP は、ファイルの暗号化を解除できるようだとアドバイスしました。

  1. 暗号化されたファイルの1つから証明書の拇印を取得する

cipher /c "D:\Users\foo\Pictures\secret.jpg" ... 証明書の拇印: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006

回復証明書が見つかりません。

キー情報を取得できません。

指定されたファイルを復号化できませんでした。

  1. 証明書とその公開鍵をDERにエクスポートする

mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... キー コンテナー: d209e940-6952-4c9d-b906-372d5a3dbd50 プロバイダー: Microsoft Enhanced Cryptographic Provider v1.0 ... ファイルに保存されました: 096BA4D021B50F5E78F2B9854A7461678EDAA006.der

  1. マスターキーを見つける

Crypto\RSA\SID\ 内のファイルをチェックして、ステップ 2 で見つかったキー コンテナーと一致する pUniqueName を含むファイルを探します。例:

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" ... pUniqueName : d209e940-6952-4c9d-b906-372d5a3dbd50 ... guidMasterKey : {92f17fce-aae6-488b-9fd8-7774c6c3eb16}

  1. 必要に応じてNTLMハッシュを回復する

パスワードが不明な場合は、NTLM ハッシュを回復します。

mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID: 000003e8 (1000) ユーザー: foo ハッシュ NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

ドメイン アカウントの場合は、NTLM ハッシュ (/hash:xx) のみが必要です。ローカル アカウントの場合は、対応するパスワード (/password:xx) またはその SHA1 ハッシュ (/hash:xx) のいずれかが必要です。つまり、それを知ったり、クラックしたり、調べたりする必要があります。1

Lookup online:
    CrackStation
    Ntlm() Encrypt & Decrypt
    HashKiller
Lookup offline:
    Rainbow Crackalack
    FreeRainbowTables.com
Crack via hashcat or similar
  1. マスターキーを復号化する

この例では、NTLM ハッシュが 31d6cfe0d16ae931b73c59d7e0c089c0 のローカル アカウントがあり、これは空のパスワードと SHA1 ハッシュ da39a3ee5e6b4b0d3255bfef95601890afd80709 に対応します。

mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255bfef95601890afd80709 ... [マスターキー] ハッシュ: da39a3ee5e6b4b0d3255bfef95601890afd80709 (sha1 タイプ) キー: 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d689057737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b

  1. 秘密鍵を復号化する

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b ... プライベートエクスポート: OK - 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'

  1. PFX証明書を作成する

OpenSSLの場合:2

openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem

openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem RSA キーの書き込み

openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

  1. PFX証明書をインストールする

certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot 証明書「user」がストアに追加されました。CertUtil: -importPFX コマンドが正常に完了しました。

  1. ファイルにアクセスしてください!

これでファイルにアクセスできるようになるはずですが、この機会にファイルを復号化することをお勧めします。

暗号 /d "D:\Users\foo\Pictures\secret.jpg"

暗号 /d /s:"D:\Users\foo\Pictures"

(または右クリック → 詳細設定 → 「内容を暗号化してデータを保護」のチェックを外す → OK)。

答え2

このコンピューターで起こっていることは非論理的ですが、それを修正しようとするのではなく、問題を回避することをお勧めします。

Linux Live USB を起動して Documents フォルダをコピーすることをお勧めします。Linux はファイルの Windows 権限を気にしません。

chkdskその後、フォルダの所有権を取得すればすべてのアクセスを許可するのに十分であるはずなので、ディスクの整合性を確認するために実行することをお勧めします。

答え3

Unlocker ソフトウェアを使用して、ファイルのロックを解除し、権限を削除します。

これは、ロックされたファイルの名前を変更するのにも役立ちます。

関連情報