Ok, esta é uma pergunta estranha:
O que os arquivos criptografados do Windows 7 (Home Premium) (EFS) parecem "do lado de fora"?
Agora aqui está a história. Um conhecido de um amigo meu tem um vírus / scareware desagradável. Então peguei meu boné de técnico de PC e fui trabalhar nele. O que fiz foi remover a unidade do laptop e colocar a unidade no compartimento da unidade externa. Eu fiz a varredura da unidade e sim foi carregado com coisas. Isso basicamente curou a infecção e eu pude reiniciar o sistema.
Para verificar se curou o problema, quis ver o sistema durante a execução. Lá, onde duas contas de usuário, com uma senha e outra sem (ambos os usuários admin!?!). Então eu entrei no usuário desprotegido e limpei os problemas residuais, como o servidor proxy para localhost na configuração do navegador. Agora eu queria fazer o mesmo com o usuário protegido por senha.
O que eu notei que do meu sistema e da conta de usuário desprotegida os arquivos do usuário protegido parecia truncado. Os arquivos são algo como 12 alphanum chars aleatórios, mas as pastas pareciam ok. Ingênuo, como se acreditava, pode ser como os arquivos criptografados pareciam "do lado de fora". (Eu nunca uso os recursos de segurança da própria Microsoft, então como eu poderia saber. O TrueCrypt é uma grande bolha.)
Como o segundo usuário não pôde ser encontrado, gravei e removi a senha da conta. (Isso pode ter sido um erro, eu sei). Agora eu fiz as mesmas tarefas de limpeza e tudo de bom e bom; exceto para os arquivos que ainda "criptografados".
Então eu olhei em muitos posts de recuperação do Windows Encrypted Files e nem toda a esperança foi perdida, já que eu deveria ser capaz de extrair o certificado e com a senha recuperar o acesso aos arquivos. Observe também que o windows "apenas" me avisou que remover a senha seria inseguro, e não que o acesso a arquivos criptografados seria perdido, como é reivindicado na maioria dos artigos de recuperação. Redefinir a senha não ajudou e desisti da noite.
A pergunta que me incomodou metade da noite passada foi: e se os arquivos não forem criptografados, mas os produtos assustados criptografaram / destruíram os arquivos? Eu não quero gastar horas de trabalho tentando recuperar arquivos que não são recuperáveis. O fato é que o usuário não se lembra de ativá-lo e os arquivos não estão marcados em azul e o nome do arquivo é legível?
Muito obrigado pela contribuição de usuários com mais conhecimento sobre o Windows EFS ...
fonte
Respostas:
Ok, foram necessárias algumas pesquisas e algumas tentativas. Mas encontrei a resposta para minha pergunta:
Pena para o usuário que perdeu seus arquivos, não backup lá.
fonte
Os arquivos criptografados parecem dados aleatórios com alta entropia. Se eles se parecessem com algo, você saberia que eles são criptografados, com qual algoritmo e até mesmo quais dados foram criptografados, o que derrotará o propósito da criptografia.
fonte
Esta é uma questão antiga, mas acho que vale a pena acrescentar:
Sim, no Explorer, eles parecem verdes (supondo que você tenha habilitado "mostrar arquivos criptografados e compactados em cores alternadas") e os nomes dos arquivos não são distorcidos. (Portanto, esteja ciente de que os nomes dos arquivos podem vazar informações).
Se você tentar abrir um sem acesso ao certificado EFS que protege a chave de sessão (basicamente, se você não estiver logado como o usuário que criptografou o arquivo), você não verá o conteúdo criptografado. Sua tentativa de abertura simplesmente falhará, como se você tivesse sido negado o acesso ao arquivo por meio de sua ACL. (Isso é muito fácil de testar se você pode criar uma segunda conta na sua máquina.)
Se você tiver acesso ao certificado EFS, o arquivo simplesmente funcionará como um arquivo normal. Você não executa uma etapa de "descriptografia" separada para usar o arquivo.
fonte