Como são os arquivos criptografados do Windows 7?

-1

Ok, esta é uma pergunta estranha:

O que os arquivos criptografados do Windows 7 (Home Premium) (EFS) parecem "do lado de fora"?

Agora aqui está a história. Um conhecido de um amigo meu tem um vírus / scareware desagradável. Então peguei meu boné de técnico de PC e fui trabalhar nele. O que fiz foi remover a unidade do laptop e colocar a unidade no compartimento da unidade externa. Eu fiz a varredura da unidade e sim foi carregado com coisas. Isso basicamente curou a infecção e eu pude reiniciar o sistema.

Para verificar se curou o problema, quis ver o sistema durante a execução. Lá, onde duas contas de usuário, com uma senha e outra sem (ambos os usuários admin!?!). Então eu entrei no usuário desprotegido e limpei os problemas residuais, como o servidor proxy para localhost na configuração do navegador. Agora eu queria fazer o mesmo com o usuário protegido por senha.

O que eu notei que do meu sistema e da conta de usuário desprotegida os arquivos do usuário protegido parecia truncado. Os arquivos são algo como 12 alphanum chars aleatórios, mas as pastas pareciam ok. Ingênuo, como se acreditava, pode ser como os arquivos criptografados pareciam "do lado de fora". (Eu nunca uso os recursos de segurança da própria Microsoft, então como eu poderia saber. O TrueCrypt é uma grande bolha.)

Como o segundo usuário não pôde ser encontrado, gravei e removi a senha da conta. (Isso pode ter sido um erro, eu sei). Agora eu fiz as mesmas tarefas de limpeza e tudo de bom e bom; exceto para os arquivos que ainda "criptografados".

Então eu olhei em muitos posts de recuperação do Windows Encrypted Files e nem toda a esperança foi perdida, já que eu deveria ser capaz de extrair o certificado e com a senha recuperar o acesso aos arquivos. Observe também que o windows "apenas" me avisou que remover a senha seria inseguro, e não que o acesso a arquivos criptografados seria perdido, como é reivindicado na maioria dos artigos de recuperação. Redefinir a senha não ajudou e desisti da noite.

A pergunta que me incomodou metade da noite passada foi: e se os arquivos não forem criptografados, mas os produtos assustados criptografaram / destruíram os arquivos? Eu não quero gastar horas de trabalho tentando recuperar arquivos que não são recuperáveis. O fato é que o usuário não se lembra de ativá-lo e os arquivos não estão marcados em azul e o nome do arquivo é legível?

Muito obrigado pela contribuição de usuários com mais conhecimento sobre o Windows EFS ...

Sean Farrell
fonte
1
Não existe uma versão "Home Pro" do Windows 7. Você pode ter "Windows 7 Home Premium" ou "Windows 7 Professional". Qual deles você tem?
Robert
Home Premium, vou editar isso no texto.
Sean Farrell
O AFAIK Home Premium suporta apenas o EFS através da ferramenta de linha de comando e não do Bitlocker. Você tem certeza de que está usando a criptografia integrada do Windows?
Robert
Como escrevi, estou cada vez mais pensando que o vírus matou os arquivos. É por isso que estou perguntando sobre a aparência dos arquivos criptografados ao visualizá-los sem credenciais.
Sean Farrell
Arquivos criptografados não têm um formato específico - eles são parecidos com dados aleatórios. E se você tiver credenciais ou não, não importa, pois os arquivos criptografados não são descriptografados automaticamente. Se você tem um trojan, você deve excluir o HDD, reinstalar o sistema e restaurar seus arquivos a partir do backup.
Robert

Respostas:

2

Ok, foram necessárias algumas pesquisas e algumas tentativas. Mas encontrei a resposta para minha pergunta:

Files that are encrypted with Windows EFS are green and the filename 
is unaltered. This is true when authenticated or not.

Pena para o usuário que perdeu seus arquivos, não backup lá.

Sean Farrell
fonte
1

Os arquivos criptografados parecem dados aleatórios com alta entropia. Se eles se parecessem com algo, você saberia que eles são criptografados, com qual algoritmo e até mesmo quais dados foram criptografados, o que derrotará o propósito da criptografia.

m0skit0
fonte
Eu sei sobre dados, mas no caso especial do Windows EFS o sistema de arquivos sabe quais arquivos são criptografados. Eles são verdes e definitivamente não truncados.
Sean Farrell
O fato de o arquivo ser criptografado é armazenado nos metadados do sistema de arquivos, especificamente, o "registro de arquivo" (junto com o nome do arquivo etc.).
Jamie Hanrahan
@SeanFarrell São metadados, o que significa que você sabe que é criptografado por dentro, não por fora.
m0skit0
1

Esta é uma questão antiga, mas acho que vale a pena acrescentar:

Sim, no Explorer, eles parecem verdes (supondo que você tenha habilitado "mostrar arquivos criptografados e compactados em cores alternadas") e os nomes dos arquivos não são distorcidos. (Portanto, esteja ciente de que os nomes dos arquivos podem vazar informações).

Se você tentar abrir um sem acesso ao certificado EFS que protege a chave de sessão (basicamente, se você não estiver logado como o usuário que criptografou o arquivo), você não verá o conteúdo criptografado. Sua tentativa de abertura simplesmente falhará, como se você tivesse sido negado o acesso ao arquivo por meio de sua ACL. (Isso é muito fácil de testar se você pode criar uma segunda conta na sua máquina.)

Se você tiver acesso ao certificado EFS, o arquivo simplesmente funcionará como um arquivo normal. Você não executa uma etapa de "descriptografia" separada para usar o arquivo.

Jamie Hanrahan
fonte