- Наш улюблений elcomsoft пропонує advanced
efs data recovery для 2K / ХР по 99 доларів з
доступною демо-версією. - Наша улюблена Microsoft так само має в своєму
арсеналу програму відновлення
reccerts.exe, яку можна отримати через
службу платній підтримки. - Ну і невідома нам Passware пропонує efskey,
яка, як кажуть, працює повільніше
aefsdr, а коштує рівно стільки ж - 95 умовних
єнотів.
Повернемось до наших баранів. По дефолту імена
efs в ХР розфарбовані зеленим. При збої все
ключі, природно губляться, і при відкритті
файлу створюється порожній документ з
описом помилки. наприклад:
- notepad: can not open the c: \ documents and settings \ foo \ my
documents \ report.txt - файл: make sure a disk is in the drive you specified.
- wordpad: access to c: \ docume
1 \ report.txt was denied.
Поява такої помилки зазвичай
свідчить про те, що для всіх
користувачів, які мали доступ до файлу,
використовується неправильний ключ шифрування.
Причин цього може бути кілька -
найпоширеніша - перевстановлення
системи.
Всім рекомендується перед першим
використанням efs зробити експорт
публічного і приватного ключів, причому
бажано на інший носій (cipher /?) - ці
ключі рандомно генеруються при створенні і
при повторній установці системи
природно не повторюються. На подив, а
може і спеціально, при першому
використанні efs ніяких попереджень
доблесна Microsoft не видає і є реальна
небезпека взагалі геть про неї забути.
У 2K і ХР дані про efs лежать тут:
c: \ documents and settings \ user \ application data \ microsoft \ crypto \ -
приватний ключ
c: \ documents and settings \ user \ application data \ microsoft \ protect \ -
парольний запис до приватного ключу
c: \ documents and settings \ user \ application data \ microsoft \ systemcertificates \ -
публічний ключ. Загалом кажучи не так і
важливий.
c: \ documents and settings \% username% \ application data \ microsoft \ crypto \ rsa \ s-1-5-21-1078081533-
1606980848-854245398-1003
Номер комп'ютера: 1078081533-1606980848-854245398
Номер користувача: 1003
У hex відповідно: fd374240 f094c85f 16c0ea32 і 3eb.
У наступній частині ми розглянемо ситуацію,
при якій файлів ключів немає.
Покажи цю статтю друзям: