Восстановление зашифрованных файлов в Win2K/WinXP

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Восстановление зашифрованных файлов в Win2K/WinXP

Сообщение RedScorp » 19 май 2004, 11:26

Доброго времени суток!
Случилась одна проблемка у мого друга, чтоб ему не ладно было. В общем решил он попробовать что же такое стандартное шифрование данных в WinXp. Решил так решил, взял и поставил галочку "Шифровать" на папку "Мои документы". А тут один пользователь что-то сотворил и ... упал ХР (машина стояла в domain'e) Ну естессно мой друг инсталл - но не поверх и не при помощи Recovery Console, а через "Delete folder". Естесно оставив только доки. Взял поставил заново, но вот доки открыть нельзя! Скопирвать нельзя! Ни чего с ними кроме удаления нельзя! :cry:
Принес мне вин мол помоги, а я ни слухом ни духом. Прочел в стандартной (не смейтесь) справке в WinXP что такое шифрование и с чем его едят. Короче нуно было создать агента по восстановлению (на центральной машине) со всеми сертификатами. Но кто же знал это тогда? Этот тип не знал даже про F1 и все его прелести, хотя бы в плане познания общего процесса.
Люди подскажите что же теперь 22 Гб документов - на х... Неужели наши любимые МелкоМягкие ни чего не предусмотрели???

Аватара пользователя
gs
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 16650
Зарегистрирован: 23 авг 2002, 17:34
Откуда: Москва
Контактная информация:

Сообщение gs » 19 май 2004, 13:59

Нда. Я как-то раз так же попался. Кинулся рыть доки и нашел только что типа "раньше надо было думать" :(
Но может серьезные спецы подскажут? Просто штука-то полезная, но ее использовать страшно - а вдруг накроется?

Аватара пользователя
exLH
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 5061
Зарегистрирован: 11 фев 2004, 15:49
Откуда: Москва
Контактная информация:

Сообщение exLH » 19 май 2004, 14:23

К "серьезным спецам" не имею никакого отношения :) , но вот как раз недавно видел статью по этому поводу, но хоть убейте не могу вспомнить где и как она называлась. Найти пока не смог, но зато вот что нашлось:
http://www.3dnews.ru/reviews/software/win-xp-encrypting
http://www.microsoft.com/rus/security/a ... ct/01.mspx
Возможно, это сможет помочь.
Однако, если ключики потеряны безвозвратно, то имхо только брутфорсом можно... на то оно и шифрование.

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 21 май 2004, 08:21

Ладненьки почитаем-с, а брутом как? какими прогами? А из Линукса это ни как? А то у меня сервак-то помощнее будет его машины :) да и Линукс мне больше нравиться. Если нет - то нет, буду под МастДай пробовать.
"Я сюда еще вернусь..." (А.Макаревич)

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 21 май 2004, 12:16

RedScorp писал(а):Ладненьки почитаем-с, а брутом как? какими прогами?
Боюсь, что готовых программ нет. Дело в том, что восстановление шифрованных файлов несколько отличается от подбора пароля.

По паролю генерится ключ (или пара ключей, когда в системе есть роль дешифровальщика). Файлы шифруются с помощью key salts, сгенеренной с помощью ключа(ей). Размер этой key salts уже не 12-16 символов, а несколько сотен или даже тысяч!

Если машина была в домене, то можно воспользоваться ключем администратора домена (кажется он является и дешифровальщиком). Импортировать его на эту машину и попробовать применить.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 21 май 2004, 15:04

art верно заметил,
брутом эти файлы не взять - брут форц метод подразумевает подбор чего то логически законченного. а тут просто ключевой файл произвольных символов, я думаю достаточно длинный.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 21 май 2004, 15:31


Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 21 май 2004, 16:05

setar писал(а):art верно заметил,
брутом эти файлы не взять - брут форц метод подразумевает подбор чего то логически законченного. а тут просто ключевой файл произвольных символов, я думаю достаточно длинный.
дело в том, что даже этого ключевого файла нет!
Есть только то, что им шифровано. Даже если есть шифрованный файл и его дешифрованное содержимое - задача восстановления ключа практически не решаема.

Микрософт шифрует файлы, IMHO, покластерно. При этом размер key salt соспоставим с размером дискового кластера. (4кб шифровано key salt размером 512б - 1кб) Криптоустойчивость такой задачи измеряется сотнями нулей. Вот эту самую key salt извлекают из сертификата
http://support.microsoft.com/default.as ... ct=win2000
с помощью пароля пользователя.

Таким образом:
если нет сертификата - сложность подбора порядка 10е100

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 25 май 2004, 07:56

Просто супер, стока всего перечитать...
Т.е. получается как не крутись, а без оригинального ключа ни какого эффекта добиться незя? Классно, впервые в жизни вижу что МикроМягкие придумали что-то серьезное, после чего восстановление/откат не существует. Ой а если бы они так ключи к Винде так делали :wink:
"Я сюда еще вернусь..." (А.Макаревич)

OlegP@
Advanced member
Сообщения: 184
Зарегистрирован: 19 май 2003, 20:26
Откуда: Челябинск

Сообщение OlegP@ » 25 май 2004, 08:15

В некоторых случаях может помочь AESFDR.

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 25 май 2004, 09:33

прикол почитал, скачал демо и
Если Вы расшифровываете файл демо-версией AEFSDR, то расшифрованы будут только первые 512 байт
, но под 2к - практически восстанавливает все файлы! без использования ключей, логинов и паролей! с ХР - проблемно! читал также http://www.softkey.ru/forum/list.php?ID=220
"Я сюда еще вернусь..." (А.Макаревич)

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 25 май 2004, 11:32

RedScorp писал(а):прикол почитал, скачал демо и
без использования ключей, логинов и паролей!
Это как же так?
Если переставили Вин (как написано в первом посте), то все ключи потеряны.

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 25 май 2004, 11:44

Поспешил :( Проверку делал под 2к, радости были полные штаны, а когда вспомнил что нуно под ХР...
В общем следующий вопрос, когда сертификат создается при первом запуске ХР (для определенного пользователя) и что - он автоматом копируется в центральную машину домена? Или же все-таки его туда тоже ручками нуно? Судя по прочитаному, должон сам. Ситуация поставили заново ХР и новый ключ ушел на мастер домен??? А старый??? Но что самое интерессное так это то, что данная прога могет восстанавливать по имени и паролю (необходимого юзера) ажли мы это все знаем, либо по обрывкам ключа (хотя последнюю фразу я так и не понял).
Теперь думаю паренек попал по крайней мере на 50 баков (для России - стоимость проги). А вот по поводу данных - гарантий на восстановление НЕТ.

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 25 май 2004, 13:34

RedScorp писал(а):Поспешил :( Проверку делал под 2к, радости были полные штаны, а когда вспомнил что нуно под ХР...
дело не в ХР или 2000, а в том, удален ли старый реестр и файл SAM, если удален - ничто не поможет.
RedScorp писал(а): В общем следующий вопрос, когда сертификат создается при первом запуске ХР (для определенного пользователя) и что - он автоматом копируется в центральную машину домена? Или же все-таки его туда тоже ручками нуно? Судя по прочитаному, должон сам. Ситуация поставили заново ХР и новый ключ ушел на мастер домен??? А
Во первых, если машина была в домене, то может существовать роль дешифровальщика (для домена). При этом любой файл на любой машине домена будет зашифрован так, что дешифровать его могут два ключа - собственно владельца файла и дешифровальщика.

Во вторых, если машина была в домене, но роли дешифровальщика не было - ключ пользователя должен храниться на контроллере домена (IMHO). В этом я не уверен. Нужно читать MS документацию
RedScorp писал(а): старый??? Но что самое интерессное так это то, что данная прога могет восстанавливать по имени и паролю (необходимого юзера) ажли мы это все знаем, либо по обрывкам ключа (хотя последнюю фразу я так и не понял).
По имени + паролю + РЕЕСТРУ, в котором лежит ключ, зашифрованный этим самым паролем.
Если изъять ключ (реестр) - вам уже ничто не поможет.

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 25 май 2004, 14:01

Я бы рад все это проверить и не один раз, но:
1. Меня ни кто не пустит на иностранную базу (нефтехранилище, я там не работаю)
2. Тип который все это натворил - сам ни х... (простите мой корявый ангельский акцент) не сможет.
3. Друг мой помочь ему тоже не сможет - поскольку тоже отсутствует допуск (хотя он там работает).
А самое интересное винт с этими доками у меня дома :wink:
Сегодня вечером приду и опробую прогу на винте. А там уже ясно будет пристрелить или сразу похоронить бедолагу. Ждем до завтра :(

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей