Позорное прямое копирование/вставкарасшифровать EFS-зашифрованные файлы статья:

Question 1

Позорное прямое копирование/вставкарасшифровать EFS-зашифрованные файлы статья:

Просмотр чата(в комментариях к вопросу) похоже, что золотой замок в правом верхнем углу в Windows обозначает файлы EFS.w32sh размещеноассылка на форумкоторый предложил эту статью для исправления, и автор сообщения сообщил, что, похоже, это позволяет им расшифровывать свои файлы!

Извлечь отпечаток сертификата из одного из зашифрованных файлов

cipher /c "D:\Users\foo\Pictures\secret.jpg" ... Отпечаток сертификата: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006

Сертификат восстановления не найден.

Ключевую информацию невозможно восстановить.

Указанный файл не может быть расшифрован.

Экспортировать сертификат и его открытый ключ в DER

mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... Контейнер ключа: d209e940-6952-4c9d-b906-372d5a3dbd50 Поставщик: Microsoft Enhanced Cryptographic Provider v1.0 ... Сохранено в файл: 096BA4D021B50F5E78F2B9854A7461678EDAA006.der

Найдите главный ключ

Проверьте файлы в Crypto\RSA\SID\, чтобы найти тот, который содержит pUniqueName, соответствующий контейнеру ключа, найденному на шаге 2, например,

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" ... pUniqueName : d209e940-6952-4c9d-b906-372d5a3dbd50 ... guidMasterKey : {92f17fce-aae6-488b-9fd8-7774c6c3eb16}

При необходимости восстановите NTLM-хэш.

Если пароль неизвестен, восстановите NTLM-хэш:

mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID: 000003e8 (1000) Пользователь: foo Хэш NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

Для доменных учетных записей вам понадобится только хэш NTLM (/hash:xx); для локальных учетных записей вам понадобится либо соответствующий пароль (/password:xx), либо его хэш SHA1 (/hash:xx), что означает его знание, взлом или поиск:1

Lookup online:
    CrackStation
    Ntlm() Encrypt & Decrypt
    HashKiller
Lookup offline:
    Rainbow Crackalack
    FreeRainbowTables.com
Crack via hashcat or similar

Расшифровать главный ключ

В этом примере у нас есть локальная учетная запись с NTLM-хешем 31d6cfe0d16ae931b73c59d7e0c089c0, что соответствует пустому паролю и SHA1-хешу da39a3ee5e6b4b0d3255bfef95601890afd80709:

mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255bfef95601890afd80709 ... [masterkey] с хешем: da39a3ee5e6b4b0d3255bfef95601890afd80709 (тип sha1) ключ: 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d689057737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b

Расшифровать закрытый ключ

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b ... Частный экспорт: ОК - 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'

Сертификат PFX сборки

с OpenSSL:2

openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem

openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem запись ключа RSA

openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Установить сертификат PFX

certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot Сертификат "user" добавлен в хранилище. CertUtil: команда -importPFX выполнена успешно.

Получите доступ к своим файлам!

Теперь ваши файлы должны быть доступны, но вы можете воспользоваться этой возможностью, чтобы расшифровать их:

шифр /d "D:\Users\foo\Pictures\secret.jpg"

шифр /d /s:"D:\Users\foo\Pictures"

(или щелкните правой кнопкой мыши → Дополнительно → снимите флажок «Шифровать содержимое для защиты данных» → ОК).

Answer

Позорное прямое копирование/вставкарасшифровать EFS-зашифрованные файлы статья:

Просмотр чата(в комментариях к вопросу) похоже, что золотой замок в правом верхнем углу в Windows обозначает файлы EFS.w32sh размещеноассылка на форумкоторый предложил эту статью для исправления, и автор сообщения сообщил, что, похоже, это позволяет им расшифровывать свои файлы!

Извлечь отпечаток сертификата из одного из зашифрованных файлов

cipher /c "D:\Users\foo\Pictures\secret.jpg" ... Отпечаток сертификата: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006

Сертификат восстановления не найден.

Ключевую информацию невозможно восстановить.

Указанный файл не может быть расшифрован.

Экспортировать сертификат и его открытый ключ в DER

mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... Контейнер ключа: d209e940-6952-4c9d-b906-372d5a3dbd50 Поставщик: Microsoft Enhanced Cryptographic Provider v1.0 ... Сохранено в файл: 096BA4D021B50F5E78F2B9854A7461678EDAA006.der

Найдите главный ключ

Проверьте файлы в Crypto\RSA\SID\, чтобы найти тот, который содержит pUniqueName, соответствующий контейнеру ключа, найденному на шаге 2, например,

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" ... pUniqueName : d209e940-6952-4c9d-b906-372d5a3dbd50 ... guidMasterKey : {92f17fce-aae6-488b-9fd8-7774c6c3eb16}

При необходимости восстановите NTLM-хэш.

Если пароль неизвестен, восстановите NTLM-хэш:

mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID: 000003e8 (1000) Пользователь: foo Хэш NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

Для доменных учетных записей вам понадобится только хэш NTLM (/hash:xx); для локальных учетных записей вам понадобится либо соответствующий пароль (/password:xx), либо его хэш SHA1 (/hash:xx), что означает его знание, взлом или поиск:1

Lookup online:
    CrackStation
    Ntlm() Encrypt & Decrypt
    HashKiller
Lookup offline:
    Rainbow Crackalack
    FreeRainbowTables.com
Crack via hashcat or similar

Расшифровать главный ключ

В этом примере у нас есть локальная учетная запись с NTLM-хешем 31d6cfe0d16ae931b73c59d7e0c089c0, что соответствует пустому паролю и SHA1-хешу da39a3ee5e6b4b0d3255bfef95601890afd80709:

mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255bfef95601890afd80709 ... [masterkey] с хешем: da39a3ee5e6b4b0d3255bfef95601890afd80709 (тип sha1) ключ: 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d689057737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b

Расшифровать закрытый ключ

mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b ... Частный экспорт: ОК - 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'

Сертификат PFX сборки

с OpenSSL:2

openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem

openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem запись ключа RSA

openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Установить сертификат PFX

certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot Сертификат "user" добавлен в хранилище. CertUtil: команда -importPFX выполнена успешно.

Получите доступ к своим файлам!

Теперь ваши файлы должны быть доступны, но вы можете воспользоваться этой возможностью, чтобы расшифровать их:

шифр /d "D:\Users\foo\Pictures\secret.jpg"

шифр /d /s:"D:\Users\foo\Pictures"

(или щелкните правой кнопкой мыши → Дополнительно → снимите флажок «Шифровать содержимое для защиты данных» → ОК).

Question 2

То, что происходит с этим компьютером, нелогично, но вместо того, чтобы пытаться это исправить, я бы предложил обойти проблему.

Я бы посоветовал загрузить Linux Live USB и скопировать папку Documents. Linux не заботится о правах доступа Windows к файлам.

После этого я предлагаю запустить chkdskпроверку целостности диска, поскольку для предоставления полного доступа достаточно было бы стать владельцем папки.

Answer

То, что происходит с этим компьютером, нелогично, но вместо того, чтобы пытаться это исправить, я бы предложил обойти проблему.

Я бы посоветовал загрузить Linux Live USB и скопировать папку Documents. Linux не заботится о правах доступа Windows к файлам.

После этого я предлагаю запустить chkdskпроверку целостности диска, поскольку для предоставления полного доступа достаточно было бы стать владельцем папки.

Question 3

Используйте программное обеспечение Unlocker, чтобы разблокировать файлы и удалить разрешения.

это также поможет вам переименовать заблокированные файлы.

Answer

Используйте программное обеспечение Unlocker, чтобы разблокировать файлы и удалить разрешения.

это также поможет вам переименовать заблокированные файлы.

Позорное прямое копирование/вставкарасшифровать EFS-зашифрованные файлы статья:

решение1

Позорное прямое копирование/вставкарасшифровать EFS-зашифрованные файлы статья:

решение2

решение3

Связанный контент