EFS Odzyskanie zaszyfrowanych plików z kopii zapasowej 2

[Wiewson]

Witam wszystkich forumowiczów. Mam podobny problem jak z temtu:
https://www.fixitpc.pl/topic/25916-efs-odzyskanie-zaszyfrowanych-plik%C3%B3w-z-kopii-zapasowej/

Ale opisze swoją historię.
Dostałem laptopa HP pavulona który zdechł. Dysk1 160gb
Kiedyś był na nim system win7 z szyfrowaniem danych, posypał się. Użytkownik zainstalował nowy system [niewiedząc że musi odzyskać klucze]. Niestety na całe szczęście zainstalował system tylko na 50gb!!
Dostałem od niego dysk przenoścny w celu zgrania danych z nowego systemu. Ten dysk przenośny też mu padł kontroler i się posypał [nieszczęścia chodzą parami]. Kiedyś wspominał coś o "zielonych plikach", że coś mu się popsuło.

Udało mi się wymienić kontroler. I faktycznie ma zaszyfrowane pliki. Zgrałem dane z nowego systemu ale.

Przy zgrywaniu danych z laptopa zauważyłem 100gb partycje RAW. Więc dociekliwość i chęć rozwikłania ww problemu sprawdziłem w DMDE drzewo folderów i znajomy potwierdził on że są to pozostałości starego systemu na którym szyfrował wcześniej pliki na dysku przenośnym. 
 

Zeskanowałem całą partycje raw [poprzywruceniu jej 160gb faktycznego rozmiaru] w DMD opcja szukaj NTFS.

wynik po skanowaniu vykrył mi

295 woluminów NTFS i 29923 fragmentów MFT

Przeglądając wolumin o największej liości MTF oraz pierwszy wolumin udało mi się odzyskać

"C:\Users\Arcade\AppData\Roaming\Microsoft\Crypto"
"C:\Users\Arcade\AppData\Roaming\Microsoft\Protect"
Oraz SID [mniema że SID to nazwa końcowych folderów]

 

brakuje mi tyko
"C:\Users\Arcade\AppData\Roaming\Microsoft\SystemCertificates\My"

pytania:
DMDE co robić dalej? mam 300 woluminów i który wybrać
czy bez "SystemCertificates\My" można coś zdziałać?
 

[mgrzeg]

Witam na forum,

 

faktycznie przypadek nieco cięższy od poprzedniego. Do odzyskania danych muszę mieć:

- skrót SHA1 ostatniego hasła użytkownika (lub samo hasło);

- zawartość katalogu Protect wraz z podkatalogami (tu są zaszyfrowane masterkeys użyte do szyfrowania blobów DPAPI)

- zawartość katalogu RSA z podkatalogami (tu są zapisane klucze prywatne, z których jeden jest użyty do szyfrowania FEK);

- strumień danych powiązany z atrybutem $EFS (prawdopodobnie w tablicy mft dla rekordu x będzie postaci x-256-8 (albo coś innego na końcu, 256 odpowiada za typ LOGGED_UTILITY_STREAM) - tu jest zaszyfrowany FEK;

- strumień $DATA powiązany z zaszyfrowanym plikiem, ale wraz ze slack space, a więc do końca klastra (EFS szyfruje co prawda w porcjach po 512 bajtów, ale nic się nie stanie, jak dostanę nieco więcej.

 

Certyfikaty fajnie byłoby mieć, ale one zawierają tylko część publiczną klucza, która w tym momencie nie jest nam potrzebna. Pewnym utrudnieniem będzie lokalizacja pliku zawierającego klucz prywatny powiązany z certem, ale zakładam, że nie ma ich miliony, więc może uda się znaleźć właściwy mając tylko same klucze.

 

m.g.

[Wiewson]

Mógłbym poprosić o pomoc w wyborze woluminu lub wskazówkach na jakim dysku operować w MDMA?

Korzystałem z MDMA,. kiedyś przywracałem w nim uszkodzone partycje RAW, ale przy takim zamieszaniu sam się gubię z tymi odzyskanymi danymi.

 

- skrót SHA1 ostatniego hasła użytkownika (lub samo hasło);  <-mam

- zawartość katalogu Protect wraz z podkatalogami (tu są zaszyfrowane masterkeys użyte do szyfrowania blobów DPAPI)

[mam cały ale nie posiada podkadalogów]

- zawartość katalogu RSA z podkatalogami (tu są zapisane klucze prywatne, z których jeden jest użyty do szyfrowania FEK)

[mam cały ale nie posiada podkadalogów]

 

- strumień danych powiązany z atrybutem $EFS (prawdopodobnie w tablicy mft dla rekordu x będzie postaci x-256-8 (albo coś innego na końcu, 256 odpowiada za typ LOGGED_UTILITY_STREAM) - tu jest zaszyfrowany FEK;

- strumień $DATA powiązany z zaszyfrowanym plikiem, ale wraz ze slack space, a więc do końca klastra (EFS szyfruje co prawda w porcjach po 512 bajtów, ale nic się nie stanie, jak dostanę nieco więcej.

 

tu jak wyżej, musiał byś mi wyjaśnić za który wolumin bym musiał sie zabrać by mieć najbardziej kompletne dane z MDMA

[mgrzeg]

Witam,

 

odnośnie wyciągania danych z dysku moja pomoc jest mocno ograniczona - ani nie znam tego narzędzia, ani nie jestem w tym zakresie specjalistą. Może ktoś jeszcze na forum będzie w stanie coś więcej pomóc? Odnoszę wrażenie, że skoro widzisz zawartość katalogów, to możesz próbować wyciągać dane na jakiś inny dysk.

 

Edit: strumienie $EFS oraz $DATA powiązane są z konkretnymi zaszyfrowanymi plikami. $DATA to po prostu dane pliku, natomiast $EFS - dodatkowy atrybut zawierający informacje o kluczu szyfrującym.

Wrzuć listę plików z katalogów Protect oraz RSA - tam powinny być podkatalogi, a w nich pliki. Na podanym przez Ciebie zrzucie widać podkatalog dla RSA, którego nazwa kończy się na 1001 -> to o niego chodzi

 

m.g.

[zarazek2333]

Tak jak mgrzeg napisał, jeśli tylko masz pliki w tych katalogach RSA i Protect to zgraj to wszystko tak żeby ci nie zginęło bo jak zginie to zapomnij .

Jeśli chodzi o tą drugą część czyli $EFS i $DATA ja używałem do wydobycia tego R-Studio Recovery i zgrałem na partycję w formacie FAT32 pliki które były na zielono.

 

Operuj na tych plikach, które pochodzą z pierwotnego systemu na którym były zaszyftowane pliki (patrz po datach?), zgraj jakiś zaszyfrowany plik tak żebyś miał

Jeśli chodzi o odszyfrowanie to nikt nie zrobi tego lepiej niż mgrzeg.

 

Jeśli chodzi o certyfikat można wygenerować nowy i spreparować go tak żeby używał starego klucza prywatnego tylko do odszyfrowania plików.

[Wiewson]

przypominam że zaszyfrowane dane są na dysku przenośnym, może to coś wniesie dodatkowego

pytanie czemu nie można zgrać certyfikatu z plików rejestru?

[mgrzeg]

Odnośnie rejestru: można spróbować sięgnąć do rejestru użytkownika (czyli pliku ntuser.dat z profilu) i wyciągnąć zawartość podklucza "Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys", a z pliku SOFTWARE (czyli gałęzi HKLM\Software) wyciągnąć podklucz "Microsoft\SystemCertificates" wraz ze wszystkimi podkluczami i blobami.

 

Co do systemu plików: niewiele pomogę, sam korzystam z własnych narzędzi opartych o TSK [KLIK], ale nie są to narzędzia do odzyskiwania danych, a raczej prostej analizy.

 

m.g.

[Wiewson]

Troszkę mi zajęło przejrzenie tych woluminów. Więc sprawa wygląda tak.
Mam zawartość folderów:
 Microsoft\Crypto\RSA
 Microsoft\Protect
 System32\Config [default,  sam,  security,  software, system]   
 Users\Arcade      [netuser.dat,   netuser.ini]
 3hasła, któryś z nich powinien zadziałać

co dalej robić?

[mgrzeg]

Brakuje jeszcze jakiegoś zaszyfrowanego pliku, który chcesz odzyskać Tak, jak pisałem - potrzebne są dane + zawartość atrybutu $EFS.

Wszystko razem spakuj z hasłem np. 7-zipem, wrzuć na jakiś hosting i zapodaj mi link w prywatnej wiadomości.

Niestety, wszystkie moje narzędzia, z których korzystam, nie nadają się do publikacji i muszę prosić Cię o podesłanie danych do mnie. Nie ukrywam, że pracuję nad możliwością wygenerowania .pfx-a, który mógłbyś sobie zaimportować, bez konieczności proszenia mnie o pomoc, ale na razie jestem jeszcze w lesie

 

m.

[Wiewson]

 myślałem że ten R7studio i pomysł z FAT'em to jakiś pomylony. Faktycznie jesteście niezłymi mózgami.
 

 

Edytowane 11 Marca 2015 przez mgrzeg
Wrażliwe dane w odnośnikach, linki usunięte.

[mgrzeg]

Z podesłanych plików wydaje mi się, że mamy:

1. Zawartość katalogu "Protect" - jest 9 masterkeys, ale bez credhist - może być problem, jeśli hasło było zmieniane.

2. Kilka przykładowych zaszyfrowanych plików + odpowiadające im strumienie $EFS. W strumieniach jest odniesienie do certyfikatu o tym samym thumbprincie, więc wyglądają na ok (dla przykładu sparsowany header dla readme.txt):

 

EFS Stream Header:
Len: 680, state: 0, ver: 2, crypto api ver: 0
Num of DDFs: 1, DRFs: 0
DDFs:
SID: S-1-5-21-4086565395-1801921026-186742713-1001:
Certificate:
   Thumbprint: 0C4E4D97201AB64CA36C03B3C9A98D47F5C4C2C8
   Container name: 12609a1d-c1cf-41a1-8ae1-12d1ec724be5
   Provider name: Microsoft Enhanced Cryptographic Provider v1.0
   User name: Arcade(mailto:Arcade@Arcade-PC)
Encrypted FEK:
8B 0F 33 98 34 CE E9 98 8A 46 71 82 16 EB 46 D7   ?.3?4Îé??Fq?.ëF×
85 2B 13 CA 0B 9F C6 24 72 AB 33 76 8E 11 6A 50   ?+.E.?A$r«3v?.jP
A2 71 CF DF DD 23 29 58 F0 07 8D 42 AB C2 BB 54   cqIßÝ#)X?.?B«Â»T
0D 92 FD 3C B6 B7 FC 56 3B E0 64 1A 10 67 8D 06   .?ýEA F3 70 B0 80 F5 E4 05 4D 21 93 40 AA 93 B2 B1   eóp°?oä.M!?@a?2+
4C D7 F4 F0 54 BA 86 A9 ED CB 9D EA 94 91 18 03   L×ô?To?cíË?e??..
8E 7B 6B 76 55 48 6A EB 58 23 08 8E E5 61 13 62   ?{kvUHjëX#.?aa.b
A4 A7 93 66 B0 5E A7 10 EB 9D 61 E4 3B 98 8D D5   ¤§?f°^§.ë?aä;??O
B7 B8 AD B7 30 02 61 32 D2 1A DC 6C C4 6F 5B 82   ¸­0.a2O.ÜlÄo[?
CC 08 E2 10 05 A8 C1 58 6B C3 63 D5 FC C7 A7 42   I.â..¨ÁXkAcOüǧB
6B F4 C3 8C 5D 4C 40 F0 E6 AC 50 D9 40 5C D7 F4   kôA?]L@?a¬PU@\×ô
FA 4B 0F 42 E3 8D B1 82 44 D0 1A 8B 6D 11 1A 33   úK.Ba?+?D?.?m..3
67 CB A5 1C 81 B4 88 BB ED 31 AA F2 C8 4B 4B 9B   gËY.?´?»í1aoEKK?
15 49 BF 40 E6 61 B5 29 CC 52 EB A7 8B 67 FE D2   .I?@aau)IRë§?g.O
4E 47 5B EB E2 DC 49 72 5A D5 F4 67 53 7F E4 C6   NG[ëâÜIrZOôgS.äA
DD EB A8 CC B9 D5 DF 22 A1 59 75 AA AB 17 27 05   Ýë¨I1Oß"!Yua«.'.

 

Niestety kilku rzeczy jeszcze nie mamy:

1. W katalogu data1\NTFS 0\$Volmue\Users\Arcade\AppData\Roaming\Microsoft\Crypto\RSA jest to samo, co w Protect - zamiast zaszyfrowanych kluczy RSA mamy masterkeys. Sprawdź, czy przypadkiem coś się nie pomieszało przy wysyłce, ewentualnie jeszcze raz wyciągnij te pliki.

2. Wszystkie pliki rejestru (data1\NTFS 0\$Volmue\Users\Arcade\NTUSER(i).DAT oraz z katalogu data1\NTFS 0\$Volmue\Windows\System32\config\) są uszkodzone. Oczywiście nie są dla nas niezbędne, ale mogą być pomocne.

 

Koniecznie potrzebuję zawartość RSA, przydałby się też CREDHIST z Protect. Pliki rejestru możesz podesłać później (zacznij od pliku SOFTWARE, skoro mam thumbprint, to pliki NTUSER.DAT użytkownika już nie są potrzebne)

 

m.g.

[Wiewson]

Chyba skończy się na tym że większość jest uszkodzona, albo trzeba będzie szukać alternatywy albo nic nie da się zrobić.
Spróbuje dziś w nocy jeszcze raz, odzyskać podane pliki ale nie jestem już tak dużej nadziei bo wszystkie pliki sprawdzając w HxD są urwane w połowie.  

[mgrzeg]

Nie trać nadziei Czekam zatem na pliki.

 

m.

[zarazek2333]

myślałem że ten R7studio i pomysł z FAT'em to jakiś pomylony. Faktycznie jesteście niezłymi mózgami.

 

Chętnie wytłumaczę dlaczego tak. R-Studio umie odzyskiwać pliki z dodatkowymi atrybutami oraz te zaszyfrowane może podzielić, a FAT nie przyjmuje atrybutów zaawansowanych, czyli zielony plik będzie po prostu zwykłym strumieniem danych

 

Życzę powodzenia z odzyskiwaniem.

[Wiewson]

Wysłałem link na PV z zipem do plików. Drzewa folderów poukładałem tak jak mi DMDE je wypluł, fakt taki że w większości uszkodzone. Zeskanowałem RAW dwa razy w celu ponownego wyszukania MFT.
Wybrałem wolumin o najwyższej zgodności MFT i najniższym nie ujemnym początku. Pełniejszych tych danych z odzysku brak.

Nie wiem czy uda coś się sklecić z nich. Czy jest jakaś inna forma uzyskania dostępu do zaszyfrowanych plików?

[mgrzeg]

Czy jest jakaś inna forma uzyskania dostępu do zaszyfrowanych plików?

 

W przypadku, gdy szyfrowane są pojedyncze pliki, a nie całe katalogi, EFS tworzy kopię pliku i ją szyfruje, a oryginalne dane zostają na dysku nietknięte. Jest więc zatem szansa, że część danych po prostu leży sobie odłogiem, choć oczywiście mogła zostać już nadpisana podczas późniejszych zapisów.

Poza tym nie widzę za bardzo możliwości odzyskania plików, bez dostępu do danych, o których pisałem wcześniej.

 

m.

[Wiewson]

Czyli miewam że jak bym przeniósł wszystkie zaszyfrowane dane na partycje FAT, morza by w ten sposób sprawdzić czy coś uniknęło zaszyfrowania?
Pliki które podesłałem, są bez użyteczne jak sądzę?

[mgrzeg]

Nie, nie chodziło mi o przenoszenie na partycję FAT - to rozwiązanie działa dla plików zaszyfrowanych z użyciem EFS, ponieważ program przenosząc te dane na dysk FAT wyodrębnia atrybut $efs w postaci osobnego pliku (FAT nie obsługuje alternatywnych strumieni plików).

W przypadku przeszukiwania (w trybie RAW) dysku w poszukiwaniu struktur, z których można wydzielić pliki, być może uda się znaleźć część danych w postaci nietkniętej w przypadku plików szyfrowanych pojedynczo (a nie całych katalogów, które szyfrowane są bez tworzenia dodatkowych kopii). Obawiam się jednak, że to już jest 'ostatnia deska ratunku', bo w moim odczuciu szanse na odzyskanie jakichkolwiek plików tą drogą są bardzo małe.

 

m.

[Wiewson]

Dzięki, wielkie za pomoc. Dużo się nauczyłem, warto było dla własnej wnikliwości poświęcić z wami ten czas.
Innej drogi odzyskania plików odpowiedzialnych za klucz nie ma. Więc ostatecznie nic się nie da zrobić
z "zielonymi". Jedynie odzyskałem z RAW część multimediów [79GB całych lub pustych ]. Fajniej by było

jak by zamiast tych zdjęć czy filmów były tamte pliki pliki w całości.

Pytanie zagadka. Jak usunąć "zielonych" bez klucza autoryzacji z dysku? Jednak troszkę to waży.

[zarazek2333]

Windowsowo to nie wiem. Nie sprawdzałem albo nie pamiętam ale możesz spróbować Unlocker'em taki zajebisty program

[Makinero]

Unlocker'em

Zależy, którym

Ja testowałem dwa

 

Unlocker 1.9.2 - nie poradził sobie z usunięciem pliku

 

IObit Unlocker 1.1 - skuteczniejszy w usuwaniu