EDICIÓN FINAL: Todo se redujo al cifrado EFS, no tenía certificados, claves privadas ni nada, afortunadamente, windows.old tenía la carpeta AppData, donde podía obtener los archivos necesarios para seguir la guía de la respuesta aceptada. Esto es lo que funcionó para mí.
Además, no tenía una contraseña, pero el usuario de la computadora no usó una contraseña, por lo que el hash de contraseña en blanco mencionado en la guía funcionó para mí. Se pueden encontrar más detalles sobre qué otras cosas que hice para la depuración en elcharlar.
EDITAR: Probé ambos comandos sugeridos por elrespuestaspregunta y no funcionaron para mí, no fallaron, se ejecutaron y se cambió la propiedad, pero todavía se me niega el acceso a los archivos.
Buen día a todos,
Tengo este problema que ni siquiera he descubierto cómo preguntar correctamente, ya que incluye la carpeta "Documentos" de Windows, que si buscas en Google, arroja muchos resultados sobre cualquier tipo de documento. De todos modos voy a explicar mi situación y ver si se puede hacer algo.
Esta persona actualizó la computadora Windows de mi papá de Windows 7 a Windows 10, no estoy exactamente seguro de cómo lo hizo, pero está esta carpeta Windows.old, y dentro de ella está esta carpeta a la que no se puede acceder a sus archivos y esta es a lo que mi papá necesita acceder,estos son años de obras, por eso pregunto aquí ya que no encuentro solución en internet.
Solo pondré el nombre de usuario porque incluyo capturas de pantalla y, en este punto, no me importa mucho la seguridad, solo quiero poder acceder a los archivos. La carpeta es "C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos", esto es Windows en español.
Enfrenté este problema antes, hace muchos años, pero reemplacé mi viejo disco duro por uno nuevo, así que todavía tenía mi versión anterior de Windows disponible en el disco viejo, y lo que hice fue simplemente iniciar la computadora con el disco viejo. copie todos los documentos dentro de la carpeta "Documentos" a una unidad externa, en lugar de copiar la carpeta "Documentos", y eso fue todo, muy simple. En este caso, la antigua instalación de Windows no está disponible, esta persona simplemente reemplazó Windows 7 con Windows 10 en el mismo disco duro.
De todos modos, volviendo al problema, se puede acceder a los archivos dentro de "C:\Windows.old\Usuarios\MARTIN CAMPOS", solo a los archivos dentro de "C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos" y sus subcarpetas no Para acceder, tienen un candado en el icono:
Probé la solución en este video:https://www.youtube.com/watch?v=sciON4DvGpY, que parecía prometedor, pero no funcionó.
Intenté otorgar Control Total a la carpeta del usuario, cambiar de propietario y todo lo que se me ocurrió:
Pero no tuve suerte, noté que los permisos no son iguales, la marca de verificación está atenuada:
En lugar de negro intenso:
No estoy seguro si esto tiene algo que ver con eso. Y el error que recibo para los archivos es "Acceso denegado":
Pero sí, este es el problema que tengo, ¿hay algo que se pueda hacer? Cualquier ayuda sería muy apreciada.
EDICIONES
Salida de icacls: (líneas finales, ya que es la misma para todos los archivos)
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46-2.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SAT.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATaclaracion.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATactualizaciondeoblig.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATsuspensióndeactividadesYAMB.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\Acuse_renovacionZAPM.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7 CAMBIO DE DOMICILIO.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\SAT RESICOzapm.pdf
Se procesaron correctamente 16334 archivos; error al procesar 0 archivos
Lo que se traduce como "16334 se procesaron correctamente, error al procesar 0 archivos"
Error al intentar copiar el archivo fuera de la carpeta, incluido el usuario actual que inició sesión en Windows:
Lo que se traduce como "Necesita permisos para realizar esta acción / Se requieren permisos de DESKTOP-AUKOJ78/Campos para realizar cambios en este archivo".
Lo que obtuve al ejecutar el comandoicacls "C:\Windows.old\Users\MARTIN CAMPOS\Documentos":
C:\Windows\system32>icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"
C:\Windows.old\Users\MARTIN CAMPOS\Documents APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(F)
APPLICATION PACKAGE AUTHORITY\TODOS LOS PAQUETES DE APLICACIÓN RESTRINGIDOS:(OI)(CI)(F)
DESKTOP-AUKOJ78\Campos:(OI)(CI)(F)
Everyone:(OI)(CI)(RX)
BUILTIN\Administradores:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
EDITAR MÁS INFORMACIÓN
Entonces ejecuté la sugerencia, haciendo ChkDskC: /OfflineScanAndFixy creé un nuevo usuario con el mismo nombre de usuario originalmente en Windows 7, pero nada parece funcionar, también jugué con los permisos en solo 1 archivo, intentando desbloquearlo o algo así, pero nada parece funcionar. Nada quita el candado amarillo.
Prácticamente todo lo que me queda es intentar volver a Windows 7, también a Linux, pero solo puedo intentarlo cuando tenga en mis manos la CPU física.
Mientras tanto, cualquier sugerencia más remota será bienvenida.
EDITAR 3 CAPTURA DE PANTALLA DE UBUNTU
Entonces, noté que solo puedo abrir archivos creados o modificados antes de una fecha determinada, alrededor del 3 de febrero de 2018 y antes.
Aquí está la foto que tomé con mi teléfono celular y muestra el error "Permiso denegado". Y abriendo un archivo creado el 3 de febrero de 2018, que se puede abrir.
Respuesta1
Vergonzoso copiar y pegar directamente de unartículo sobre cómo descifrar archivos cifrados con EFS:
Revisando el chat(en los comentarios de las preguntas) parece que el candado dorado en la parte superior derecha de Windows indica archivos EFS.w32sh al corrienteaenlace al foroeso sugirió que este artículo se solucionara y el OP informó que parece permitirles descifrar sus archivos.
- Recuperar la huella digital del certificado de uno de los archivos cifrados
cifrado /c "D:\Users\foo\Pictures\secret.jpg" ... Huella digital del certificado: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006
No se encontró ningún certificado de recuperación.
La información clave no se puede recuperar.
El archivo especificado no se pudo descifrar.
- Certificado de exportación y su clave pública al DER
mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... Contenedor de claves: d209e940-6952-4c9d-b906-372d5a3dbd50 Proveedor: Proveedor criptográfico mejorado de Microsoft v1.0 Guardado... presentar : 096BA4D021B50F5E78F2B9854A7461678EDAA006.der
- Encuentra la llave maestra
Verifique los archivos dentro de Crypto\RSA\SID\ para encontrar el que contiene un pUniqueName que coincida con el contenedor de claves encontrado en el paso 2, por ejemplo,
mimikatz # dpapi::capi /en:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-ad fc937caecd"... pUniqueName: d209e940-6952-4c9d -b906-372d5a3dbd50... guidMasterKey: {92f17fce-aae6-488b-9fd8-7774c6c3eb16}
- Recupere el hash NTLM si es necesario
Si desconoce la contraseña, recupere el hash NTLM:
mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID : 000003e8 (1000) Usuario : foo Hash NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0
Para cuentas de dominio, solo necesitará el hash NTLM (/hash:xx); para cuentas locales, necesitará la contraseña correspondiente (/contraseña:xx) o su hash SHA1 (/hash:xx), lo que significa conocerla, descifrarla o buscarla:1
Lookup online:
CrackStation
Ntlm() Encrypt & Decrypt
HashKiller
Lookup offline:
Rainbow Crackalack
FreeRainbowTables.com
Crack via hashcat or similar
- Descifrar la clave maestra
En este ejemplo, tenemos una cuenta local con un hash NTLM de 31d6cfe0d16ae931b73c59d7e0c089c0, que corresponde a una contraseña en blanco y un hash SHA1 de da39a3ee5e6b4b0d3255bfef95601890afd80709:
mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255 bfef95601890afd80709 ... [clave maestra] con hash : clave da39a3ee5e6b4b0d3255bfef95601890afd80709 (tipo sha1): 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d6890 57737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b
- Descifrar la clave privada
mimikatz # dpapi::capi /en:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-ad fc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b... Exportación privada: Aceptar: 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'
- Crear certificado PFX
con OpenSSL:2
openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem
openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem escribiendo clave RSA
openssl.exe pkcs12 -in public.pem -inkey private.pem -contraseña:bar -keyex -CSP "Proveedor criptográfico mejorado de Microsoft v1.0" -export -out cert.pfx
- Instalar el certificado PFX
certutil -user -p bar -importpfx cert.pfx NoChain, NoRoot Certificado "usuario" agregado a la tienda. CertUtil: el comando -importPFX se completó correctamente.
- ¡Accede a tus archivos!
Ahora debería poder acceder a sus archivos, pero es posible que desee aprovechar esta oportunidad para descifrarlos:
cifrado /d "D:\Users\foo\Pictures\secret.jpg"
cifrado /d /s:"D:\Users\foo\Pictures"
(o haga clic derecho → Avanzado → desmarque "Cifrar contenido para proteger datos" → Aceptar).
Respuesta2
Lo que le está sucediendo a esta computadora es ilógico, pero en lugar de intentar solucionarlo, sugeriría solucionar el problema.
Sugeriría iniciar un Linux Live USB y copiar la carpeta Documentos. A Linux no le importan los permisos de archivos de Windows.
Luego, sugiero ejecutar chkdskpara verificar la integridad del disco, porque tomar posesión de la carpeta debería haber sido suficiente para otorgar todos los accesos.
Respuesta3
Utilice el software Unlocker para desbloquear los archivos y eliminar los permisos.
Esto también le ayudará a cambiar el nombre de los archivos bloqueados.