수치스러운 직접 복사/붙여넣기EFS로 암호화된 파일 해독 기사:

tag-icon tag-icon windows windows-7 windows-10 encryption efs
수치스러운 직접 복사/붙여넣기EFS로 암호화된 파일 해독 기사:

최종 편집: 모두 EFS 암호화로 내려갔고 인증서나 개인 키 등이 없었습니다. 다행히도 windows.old에는 허용된 답변에 대한 가이드를 따르는 데 필요한 파일을 얻을 수 있는 AppData 폴더가 있었습니다. 이것이 나를 위해 일한 것입니다.

또한 저는 비밀번호가 없었지만 컴퓨터 사용자가 비밀번호를 사용하지 않았기 때문에 가이드에 언급된 빈 비밀번호 해시가 저에게 효과적이었습니다. 디버깅을 위해 내가 수행한 다른 작업에 대한 자세한 내용은 다음에서 찾을 수 있습니다.채팅.

편집: 나는 제안한 두 명령을 모두 시도했습니다.답변질문을 했는데 작동하지 않았고, 실패하지도 않았고, 실행되었으며, 소유권이 변경되었지만 여전히 파일에 대한 액세스가 거부되었습니다.

모두들 좋은 하루 되세요

이 문제는 Windows "Documents" 폴더를 포함하고 있기 때문에 적절하게 물어보는 방법조차 알지 못하는 문제가 있습니다. 이 폴더에는 Google을 검색하면 모든 종류의 문서에 대해 너무 많은 결과가 표시됩니다. 어쨌든 내 상황을 설명하고 조치가 가능한지 알아보겠습니다.

이 사람은 아버지의 Windows 컴퓨터를 Windows 7에서 Windows 10으로 업그레이드했는데 어떻게 했는지는 정확히 모르겠지만 Windows.old 폴더가 있고 그 안에는 파일에 액세스할 수 없는 폴더가 있고 아빠가 액세스해야 하는 항목입니다.이건 수년간의 작업이야, 그래서 인터넷에서 해결책을 찾을 수 없어서 여기에 질문합니다.

스크린샷이 포함되어 있으므로 사용자 이름만 입력하겠습니다. 이 시점에서는 보안에 대해서는 별로 신경 쓰지 않고 파일에 액세스할 수만 있으면 됩니다. 폴더는 "C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos"입니다. 이는 스페인어로 Windows입니다.

몇 년 전에 이 문제에 직면했지만 기존 하드 드라이브를 새 드라이브로 교체했기 때문에 이전 드라이브에서 이전 Windows 버전을 계속 사용할 수 있었고 제가 한 일은 이전 드라이브로 컴퓨터를 부팅하는 것뿐이었습니다. "Documentos" 폴더를 복사하는 대신 "Documentos" 폴더 안의 모든 문서를 외장 드라이브에 복사하면 매우 간단합니다. 이 경우 이전 Windows 설치를 사용할 수 없으며 이 사람은 동일한 하드 드라이브에서 Windows 7을 Windows 10으로 교체했습니다.

어쨌든, 문제로 돌아가서, "C:\Windows.old\Usuarios\MARTIN CAMPOS" 내의 파일에 액세스할 수 있지만, "C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos" 내의 파일과 그 하위 폴더에만 액세스할 수 없습니다. 액세스하려면 아이콘에 자물쇠가 표시되어 있습니다.

스크린샷

저는 이 영상에서 해결책을 시도했습니다:https://www.youtube.com/watch?v=sciON4DvGpY, 유망해 보였지만 작동하지 않았습니다.

나는 사용자를 위해 폴더에 대한 전체 제어 권한을 부여하고 소유자를 변경하고 내가 생각할 수 있는 모든 것을 시도했습니다. 여기에 이미지 설명을 입력하세요

하지만 운이 없었습니다. 권한이 동일하게 보이지 않고 체크 표시가 회색으로 표시되는 것을 발견했습니다.

여기에 이미지 설명을 입력하세요

굵은 검정색 대신:

여기에 이미지 설명을 입력하세요

이것이 그것과 관련이 있는지 확실하지 않습니다. 파일에 대해 발생하는 오류는 "액세스 거부됨"입니다.

여기에 이미지 설명을 입력하세요

그런데 이게 바로 제가 겪고 있는 문제인데, 할 수 있는 일이 없을까요? 어떤 도움이라도 대단히 감사하겠습니다.

편집

icacls의 출력: (모든 파일에 대해 동일하므로 마지막 줄)

archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46-2.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SAT.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATaclaracion.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATactualizaciondeoblig.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATsuspensióndeactividadesYAMB.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\Acuse_renovacionZAPM.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7 CAMBIO DE DOMICILIO.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\SAT RESICOzapm.pdf
Se procesaron correctamente 16334 archivos; error al procesar 0 archivos

이는 "16334가 올바르게 처리되었습니다. 0개 파일을 처리하는 중 오류가 발생했습니다"로 해석됩니다.

Windows에 로그인한 현재 사용자를 포함하여 폴더 외부에 파일을 복사하는 중 오류가 발생했습니다.

여기에 이미지 설명을 입력하세요

이는 "이 작업을 수행하려면 권한이 필요합니다. / 이 파일을 변경하려면 DESKTOP-AUKOJ78/Campos에서 권한이 필요합니다."로 해석됩니다.

명령을 실행하여 얻은 것icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents":

C:\Windows\system32>icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"

C:\Windows.old\Users\MARTIN CAMPOS\Documents APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(F)
                                             APPLICATION PACKAGE AUTHORITY\TODOS LOS PAQUETES DE APLICACIÓN RESTRINGIDOS:(OI)(CI)(F)
                                             DESKTOP-AUKOJ78\Campos:(OI)(CI)(F)
                                             Everyone:(OI)(CI)(RX)
                                             BUILTIN\Administradores:(OI)(CI)(F)
                                             NT AUTHORITY\SYSTEM:(OI)(CI)(F)

Se procesaron correctamente 1 archivos; error al procesar 0 archivos

추가 정보 편집

그래서 나는 ChkDsk를 수행하여 제안을 실행했습니다.C: /오프라인스캔앤픽스원래 Windows 7에서 동일한 사용자 이름을 사용하여 새 사용자를 생성했지만 아무것도 작동하지 않는 것 같습니다. 또한 1개의 파일에 대한 권한을 사용하여 차단을 해제하려고 시도했지만 아무것도 작동하지 않는 것 같습니다. 노란색 자물쇠는 제거되지 않습니다.

여기에 이미지 설명을 입력하세요

나에게 남은 거의 모든 것은 Windows 7과 Linux로 되돌리려는 것뿐이지만 물리적 CPU를 손에 넣을 때만 시도해 볼 수 있습니다.

그 동안 더 많은 원격 제안을 환영합니다.

3 우분투 스크린샷 편집

그래서 특정 날짜 이전, 즉 2018년 2월 3일 전후와 그 이전에 생성되거나 수정된 ​​파일만 열 수 있다는 것을 알게 되었습니다.

다음은 휴대폰으로 찍은 사진인데 "권한 거부됨" 오류가 표시됩니다. 그리고 2018년 2월 3일에 생성된 파일을 열어서 열 수 있습니다.

우분투

답변1

수치스러운 직접 복사/붙여넣기EFS로 암호화된 파일 해독 기사:

채팅 검토 중(질문 설명 아래) Windows의 오른쪽 상단 금색 자물쇠는 EFS 파일을 나타냅니다.w32sh 게시됨포럼 링크이 기사를 수정하라고 제안했고 OP는 파일을 해독할 수 있도록 허용하는 것 같다고 조언했습니다!

  1. 암호화된 파일 중 하나에서 인증서 지문 검색

cipher /c "D:\Users\foo\Pictures\secret.jpg" ... 인증서 지문: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006

복구 인증서를 찾을 수 없습니다.

주요 정보를 검색할 수 없습니다.

지정된 파일을 해독할 수 없습니다.

  1. 인증서 및 해당 공개 키를 DER로 내보내기

mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... 키 컨테이너: d209e940-6952-4c9d-b906-372d5a3dbd50 공급자: Microsoft Enhanced Cryptographic Provider v1.0 ...에 저장됨 파일 : 096BA4D021B50F5E78F2B9854A7461678EDAA006.der

  1. 마스터 키를 찾아보세요

Crypto\RSA\SID\ 내의 파일을 확인하여 2단계에서 찾은 키 컨테이너와 일치하는 pUniqueName이 포함된 파일을 찾으세요. 예:

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466- adfc937caecd" ... pUniqueName : d209e940-6952-4c9d -b906-372d5a3dbd50 ... guidMasterKey : {92f17fce-aae6-488b-9fd8-7774c6c3eb16}

  1. 필요한 경우 NTLM 해시 복구

암호를 알 수 없는 경우 NTLM 해시를 복구합니다.

mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID: 000003e8 (1000) 사용자: foo 해시 NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

도메인 계정의 경우 NTLM 해시(/hash:xx)만 필요합니다. 로컬 계정의 경우 해당 비밀번호(/password:xx) 또는 SHA1 해시(/hash:xx)가 필요합니다. 이는 비밀번호를 알고, 크래킹하거나 검색한다는 의미입니다.1

Lookup online:
    CrackStation
    Ntlm() Encrypt & Decrypt
    HashKiller
Lookup offline:
    Rainbow Crackalack
    FreeRainbowTables.com
Crack via hashcat or similar
  1. 마스터 키 복호화

이 예에는 NTLM 해시가 31d6cfe0d16ae931b73c59d7e0c089c0인 로컬 계정이 있습니다. 이는 빈 암호와 da39a3ee5e6b4b0d3255bfef95601890afd80709의 SHA1 해시에 해당합니다.

mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255 bfef95601890afd80709 ... [마스터키] 해시 포함 : da39a3ee5e6b4b0d3255bfef95601890afd80709 (sha1 유형) 키 : 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d68905 7737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b

  1. 개인 키 복호화

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466- adfc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b ... 개인 내보내기: 확인 - 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'

  1. PFX 인증서 구축

OpenSSL 사용:2

openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem

openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem RSA 키 쓰기

openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

  1. PFX 인증서 설치

certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot 인증서 "사용자"가 저장소에 추가되었습니다. CertUtil: -importPFX 명령이 성공적으로 완료되었습니다.

  1. 파일에 액세스하세요!

이제 파일에 액세스할 수 있지만 이 기회에 파일의 암호를 해독할 수 있습니다.

암호 /d "D:\Users\foo\Pictures\secret.jpg"

암호 /d /s:"D:\Users\foo\Pictures"

(또는 마우스 오른쪽 버튼 클릭 → 고급 → '내용을 암호화하여 데이터 보호' 체크 해제 → 확인)

답변2

이 컴퓨터에 무슨 일이 일어나고 있는지는 비논리적입니다. 하지만 문제를 해결하려고 하기보다는 문제를 해결하는 것이 좋습니다.

Linux Live USB를 부팅하고 문서 폴더를 복사하는 것이 좋습니다. Linux는 파일의 Windows 권한에 관심이 없습니다.

chkdsk그런 다음 폴더의 소유권을 얻는 것만으로도 모든 액세스 권한을 부여할 수 있으므로 실행하여 디스크의 무결성을 확인하는 것이 좋습니다 .

답변3

Unlocker 소프트웨어를 사용하여 파일을 잠금 해제하고 권한을 제거하십시오.

이는 잠긴 파일의 이름을 바꾸는 데에도 도움이 됩니다.

관련 정보