Эта статья посвящена восстановлению работоспособности encrypted file system (efs), импорту ключей из старого профиля пользователя в новую систему для получения доступа к зашифрованной информации. Для начала определимся, что ты для начала можешь попробовать ряд существующих утилит для этой работы, производимая в статье работа требует определенных знаний и умений.

• Наш любимый elcomsoft предлагает advanced efs data recovery для 2K/ХР по 99 долларов с доступной демо-версией.
• Наша любимая Microsoft так же имеет в своем арсенала программу восстановления reccerts.exe, которую можно получить через службу платной поддержки.
• Ну и неизвестная нам Passware предлагает efskey, которая, как говорят, работает медленнее aefsdr, а стоит ровно столько же - 95 условных енотов.

Вернемся к нашим баранам. По дефолту имена efs в ХР раскрашены зеленым. При сбое все ключи, естественно теряются, и при открытии файла создается пустой документ с описанием ошибки. Например:

• notepad: cannot open the c:\documents and settings\foo\my documents\report.txt
• файл: make sure a disk is in the drive you specified.
• wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.

Появление такой ошибки обычно свидетельствует о том, что для всех пользователей, которые имели доступ к файлу, используется неправильный ключ шифрования. Причин этого может быть несколько - наиболее распространенная - переустановка системы.

Всем рекомендуется перед первым использованием efs сделать экспорт публичного и приватного ключей, причем желательно на другой носитель (cipher /?) - эти ключи рандомно генерируются при создании и при повторной установке системы естественно не повторяются. К удивлению, а может и специально, при первом использовании efs никаких предупреждений доблестная Microsoft не выдает и есть реальная опасность вообще напрочь про нее забыть.

В 2K и ХР данные о efs лежат тут:

c:\documents and settings\user\application data\microsoft\crypto\ - приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ - парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ - публичный ключ. В общем говоря не так и важен.

Допустим файлы сохранились и требуется их использовать. Для работы с файловой системой требуется тот же аккаунт с тем же номером компьютера, что и был изначально. Найти эти данные можно тут:

c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533- 1606980848-854245398-1003

Тут:

Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003

В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.

Идем в hklm\sam\sam\domains\account\users\%usernumbers% и проверяем, есть ли аккаунт с таким номером в системе. Если есть, то надо найти имя пользователя и создать профиль с оригинальным паролем. Если нету - создаем, изменив перед этим hklm\sam\sam\domains\account\f по смещению 48 на требуемый номер, и добавляем его в админскую группу. Далее: в hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины на оригинальный. Следующее проделываем и тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows nt\currentversion\profilelist\ экспортируем ключ, описывающий номеру машины с суффиксом из номера пользователя, изменяем на оригинальные номера и импортируем обратно. Копируем папки с ключами в c:\documents and settings\%username%\application data\microsoft\, перегружаемся... и все должно работать.

В следующей части мы рассмотри ситуацию, при которой файлов ключей нету.