可恥的直接複製/貼上解密 EFS 加密檔案文章:

可恥的直接複製/貼上解密 EFS 加密檔案文章:

最終編輯: 一切都歸結為 EFS 加密,我沒有憑證、私鑰或任何東西,幸運的是,windows.old 有 AppData 資料夾,我可以在其中取得遵循已接受答案的指南所需的檔案。這對我有用。

另外,我沒有密碼,但電腦使用者沒有使用密碼,因此指南中提到的空白密碼雜湊對我有用。有關我為 debuggin 所做的其他操作的更多詳細信息,請參閱聊天

編輯:我嘗試了建議的兩個命令答案問題,它們對我不起作用,它們沒有失敗,它們運行了,並且所有權發生了更改,但我仍然無法訪問這些文件。

今天是個好日子,

我有這個問題,我還沒弄清楚如何正確詢問,因為它包含 Windows“文檔”資料夾,如果你用谷歌搜索,只會拋出很多關於任何類型文檔的結果。不管怎樣,我會解釋一下我的情況,看看是否可以做些什麼。

這個人將我爸爸的 Windows 電腦從 Windows 7 升級到 Windows 10,我不太確定他是如何做到的,但是有一個 Windows.old 資料夾,裡面有一個資料夾,其文件無法訪問,並且這個是我爸爸需要造訪的內容,這是多年的作品,這就是我在這裡問的原因,因為我在互聯網上找不到解決方案。

我只會輸入用戶名,因為我包含螢幕截圖,此時,我不太關心安全性,我只想能夠存取檔案。該資料夾是“C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos”,這是西班牙語的Windows。

我很多年前就遇到過這個問題,但我用新硬碟更換了舊硬碟,所以舊硬碟中仍然有我以前的Windows版本,我所做的只是用舊硬碟啟動計算機,將「Documentos」資料夾內的所有文件複製到外部驅動器,而不是複製“Documentos”資料夾,就是這樣,非常簡單。在這種情況下,舊的 Windows 安裝不可用,此人只會在同一硬碟上將 Windows 7 替換為 Windows 10。

無論如何,回到問題,“C:\Windows.old\Usuarios\MARTIN CAMPOS”內任何位置的文件都可以訪問,只有“C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos”及其子資料夾內的文件無法存取被存取時,它們的圖示上有一個鎖:

螢幕截圖

我嘗試了這個影片中的解決方案:https://www.youtube.com/watch?v=sciON4DvGpY,看起來很有希望,但沒有成功。

我嘗試授予用戶對資料夾的完全控制權,更改所有者以及我能想到的任何內容: 在此輸入影像描述

但我沒有運氣,我注意到權限看起來不一樣,複選標記是灰色:

在此輸入影像描述

而不是像粗體黑色:

在此輸入影像描述

不確定這是否與此有關。我收到的文件錯誤是「訪問被拒絕」:

在此輸入影像描述

但是,是的,這就是我遇到的問題,有什麼可以做的嗎?任何幫助將非常感激。

編輯

icacls 的輸出:(最後幾行,因為所有檔案都相同)

archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46-2.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SAT.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATaclaracion.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATactualizaciondeoblig.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATsuspensióndeactividadesYAMB.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\Acuse_renovacionZAPM.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7 CAMBIO DE DOMICILIO.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\SAT RESICOzapm.pdf
Se procesaron correctamente 16334 archivos; error al procesar 0 archivos

這意味著“16334 已正確處理,錯誤處理 0 個文件”

嘗試將檔案複製到資料夾外部時出錯,包括目前登入 Windows 的使用者:

在此輸入影像描述

這意味著“您需要權限才能執行此操作/需要 DESKTOP-AUKOJ78/Campos 的權限才能更改此文件。”

我從運行命令中得到了什麼icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"

C:\Windows\system32>icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"

C:\Windows.old\Users\MARTIN CAMPOS\Documents APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(F)
                                             APPLICATION PACKAGE AUTHORITY\TODOS LOS PAQUETES DE APLICACIÓN RESTRINGIDOS:(OI)(CI)(F)
                                             DESKTOP-AUKOJ78\Campos:(OI)(CI)(F)
                                             Everyone:(OI)(CI)(RX)
                                             BUILTIN\Administradores:(OI)(CI)(F)
                                             NT AUTHORITY\SYSTEM:(OI)(CI)(F)

Se procesaron correctamente 1 archivos; error al procesar 0 archivos

編輯更多信息

所以我運行了建議,執行 ChkDskC:/OfflineScanAndFix並使用最初在 Windows 7 中相同的用戶名創建一個新用戶,但似乎沒有任何作用,我也只使用了 1 個文件的權限,試圖解鎖它或其他東西,但似乎沒有任何作用。沒有什麼可以去除黃色掛鎖。

在此輸入影像描述

我剩下的幾乎就是嘗試恢復到 Windows 7,還有 Linux 的東西,但我只能在我拿到實體 CPU 時才能嘗試這些。

同時,非常歡迎任何更遠端的建議。

編輯 3 UBUNTU 螢幕截圖

因此,我注意到我只能開啟在特定日期(2018 年 2 月 3 日左右及之前)之前建立或修改的檔案。

這是我用手機拍攝的照片,顯示「權限被拒絕」錯誤。並開啟2018年2月3日建立的文件,可以開啟。

烏班圖

答案1

可恥的直接複製/貼上解密 EFS 加密檔案文章

回顧聊天記錄(在問題評論下)Windows 中右上角的金色掛鎖似乎表示 EFS 檔案。w32sh 發布A連結到論壇建議這篇文章修復&OP建議它似乎允許他們解密他們的檔案!


  1. 從加密檔案之一檢索證書指紋

cipher /c "D:\Users\foo\Pictures\secret.jpg" ... 憑證指紋:096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006

未找到恢復憑證。

無法檢索關鍵資訊。

無法解密指定的檔案。

  1. 將憑證及其公鑰匯出到 DER

mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... 鍵容器:d209e940-6952006" /export ...程序v1。 .儲存至檔案:096BA4D021B50F5E78F2B9854A7461678EDAA006.der

  1. 找到主鑰匙

檢查 Crypto\RSA\SID\ 中的文件以尋找包含與步驟 2 中找到的金鑰容器相符的 pUniqueName 的文件,例如,

mimikatz # dpapi::capi /in:"加密\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24000\43838b0ac634d4f965f7c24000\43838b0ac634d4f965f7c240000 37caecd「... pUniqueName:d209e940-6952-4c9d -b906-372d5a3dbd50 ... guidMasterKey :{92f17fce-aae6-488b-9fd8-7774c6c3eb16}

  1. 如有必要,恢復 NTLM 哈希

如果密碼未知,請恢復 NTLM 雜湊:

mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID : 000003e8 (1000) 使用者 : foo 雜湊 NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

對於網域帳戶,您只需要 NTLM 哈希 (/hash:xx);對於本機帳戶,您需要相應的密碼 (/password:xx) 或其 SHA1 雜湊值 (/hash:xx),這表示了解、破解或尋找它:1

Lookup online:
    CrackStation
    Ntlm() Encrypt & Decrypt
    HashKiller
Lookup offline:
    Rainbow Crackalack
    FreeRainbowTables.com
Crack via hashcat or similar
  1. 解密主金鑰

在這個範例中,我們有一個 NTLM 雜湊值為 31d6cfe0d16ae931b73c59d7e0c089c0 的本機帳戶,它對應於空白密碼和 da39a3ee5e6b4b0d3255bfef95601890afd80 da

mimikatz # dpapi::masterkey /in:"保護\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7745625362532530252532535 bfef95601890afd80709 ... [主密鑰] 帶雜湊:da39a3ee5e6b4b0d3255bfef95601890afd80709(sha1型)金鑰:6e24723a56a885fc957f25d4872cbbf10589b1f080330321760621 9057737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1:4505118da94b7df471bbbcf6d2c6c744a612e62b

  1. 解密私鑰

mimikatz # dpapi::capi /in:"加密\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24000\43838b0ac634d4f965f7c24000\43838b0ac634d4f965f7c240000 37caecd" /masterkey:4505118da94b7df471bbbbcf6d2c6c744a612e62b ... 私人導出:好的- 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'

  1. 建置PFX證書

使用 OpenSSL:2

openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem

openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem 寫入RSA

openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft 增強型加密提供者 v1.0" -export -out cert.pfx

  1. 安裝PFX證書

certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot 憑證「使用者」已加入到儲存中。 CertUtil:-importPFX 指令已成功完成。

  1. 存取您的文件!

您的文件現在應該可以訪問,但您可能想藉此機會解密它們:

密碼 /d "D:\Users\foo\Pictures\secret.jpg"

密碼 /d /s:"D:\Users\foo\Pictures"

(或按滑鼠右鍵→進階→取消勾選「加密內容以保護資料」→確定)。

答案2

這台計算機發生的情況是不合邏輯的,但我建議不要嘗試修復它,而是解決該問題。

我建議啟動 Linux Live USB 並複製 Documents 資料夾。 Linux 不關心 Windows 的檔案權限。

之後,我建議運行chkdsk以驗證磁碟的完整性,因為獲得該資料夾的所有權應該足以授予所有存取權限。

答案3

使用 Unlocker 軟體解鎖檔案並刪除權限。

這也將幫助您重命名已鎖定的檔案。

相關內容