Recuperar la carpeta cifrada EFS después de limpiar la partición del sistema

4

Recientemente hemos tenido problemas al reinstalar una de las computadoras de escritorio del cliente.

El disco se dividió en dos particiones maestras llamadas C: y D: . Eliminamos C: y reinstalamos el sistema (Win XP SP2 Professional)

Después de que nos dimos cuenta de que había una carpeta con fotos pero protegida por cifrado (EFS)

Eso significa que tenemos una carpeta con archivos + carpetas, pero las dos claves de cifrado han desaparecido.

He intentado:

  • Encuentre al menos una de las claves a través de la utilidad para recuperar archivos eliminados
  • Conectar el disco duro al controlador de dominio y asumir los privilegios

pero ninguno funcionó.

Luego encontré dos herramientas sw para recuperar archivos cifrados EFS (Elcomsoft AEFSDR y Passware EFS), pero creo que estas herramientas pueden funcionar solo si tenemos una de las claves o la clave está presente en la base de datos SAM.

Tengo una idea, esa clave podría recuperarse probablemente si puedo comparar versiones cifradas y no cifradas del mismo archivo, pero no he encontrado ninguna pista si esto es realmente posible.

Entonces la pregunta es:

  1. ¿Me equivoco con estas herramientas sw?
  2. Si no, ¿hay alguna manera de recuperar esos archivos?
pregunta Marek Sebera 09.10.2011 - 11:54
fuente

2 respuestas

3

Si la computadora estaba conectada a un dominio de Windows y los archivos fueron cifrados por un usuario del dominio, es posible que pueda usar el agente de recuperación para descifrar los archivos (consulte enlace , enlace ). Puede usar efsinfo.exe para determinar esto (consulte enlace )

En este caso, no usaría los permisos sobre el archivo para descifrar los archivos mediante el comando cipher (consulte enlace ) con la cuenta del agente de recuperación (es probable que este sea el administrador del dominio pero que esté configurado de manera diferente en su entorno).

Si tiene el archivo ntuser.dat del usuario de su perfil, puede restablecerlo para recuperar la clave de cifrado. Sin embargo, el usuario debe seguir utilizando la misma contraseña que cuando se realizó la copia de seguridad del archivo.

Espero esta ayuda.

    
respondido por el Bernie White 10.10.2011 - 23:48
fuente
1

Como el sistema de archivos no se ha sobrescrito, es posible que pueda recuperar algunas partes del sistema de archivos original.

Si el sistema no está encendido, extraiga el disco duro del sistema y agréguelo a otro sistema como unidad secundaria. Si el sistema está encendido, intente apagar el sistema de manera que minimice las escrituras en la unidad. A continuación, conecte el disco duro como unidad secundaria en otro sistema. La intención aquí es preservar la mayor cantidad posible del sistema de archivos anterior.

Pruebe el software de recuperación de archivos NTFS y vea qué archivos están disponibles. Por ejemplo: TestDisk es un programa gratuito de código abierto que es capaz de recuperar archivos de sistemas de archivos NTFS eliminados.

Es posible que pueda recuperar parte o potencialmente todo el registro SAM. Y puede recuperar parte o la totalidad del perfil NTUSER.DAT del usuario.

    
respondido por el this.josh 11.10.2011 - 22:46
fuente

Lea otras preguntas en las etiquetas