Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

tarciziorp

Recuperar Pastas e Arquivos Criptografados Criptografia EFS

4 posts neste tópico

Olá:

Inicialmente digo que o caso não é tão grave assim, acho que pode haver uma solução dado o que já pesquisei.

1. Instalei o Windows XP Professional, no início do ano, com único um usuário "USER01" (Usuário Administrador do Sistema) e defini, posteriormente, uma senha "XYZWTRP" para este usuário. O Windows XP ficou instalado na primeira partição de meu disco rígido, obtendo a identificação C:

2. Criptografei alguns arquivos que estavam em uma pasta na segunda partição de meu disco rígido (D:)

3. Formatei a partição C: mas não sabia que tinha de fazer o backup das chaves ou certificados contidos neste disco.

4. Agora que instalei novamente o Windows XP, com o mesmo usuário e a mesma senha, não consigo acessar os arquivos que foram criptografados na pasta da partição D:

Vamos aos fatos que podem ajudar numa possível recuperação.

A. Entrei no Windows Explorer-->Menu Ferramentas-->Opções de Pasta-->Guia Modos de Exibição--> E desmarquei a opção USAR COMPARTILHAMENTO SIMPLES DE ARQUIVO.

Com isso, agora consigo acessar mais informações das pastas criptografadas (EM VERDE) quando clico com o botão direito do mouse sobre elas e escolho a opção PROPRIEDADES no menu contexto que aparece.

B. Fiz o seguinte.

Peguei uma das pastas criptografadas, cliquei com o botão direito do mouse sobre ela, escolhi a opção PROPRIEDADES e logo em seguida, na janela que abriu com as Propriedades da Pasta, acessei a Guia Segurança.

Na Guia SEGURANÇA tenho duas grandes seções.

Uma delas é NOMES DE GRUPOS OU USUÁRIOS, onde aparecem:

273739-users.gifAdministradores (COMPUTADORAdministradores)

273739-users.gifPROPRIETÁRIO CRIADOR

273739-user_who.gifS-1-5-21-1343024091-1592454029-725345543-1003

273739-users.gifSYSTEM

273739-users.gifUsuários (COMPUTADORUsuários)

Reparem que existe um usuário com o ícone273739-user_who.gif. Este usuário pode ser a resposta para o problema da recuperação dos arquivos encriptados com o EFS (Encrypted File System) do Windows XP.

C. Ainda na Guia SEGURANÇA temos o botão AVANÇADO.

Clicando nele temos a janela Configurações de Segurança Avançadas para PASTA_TAL

Temos as Guias, PERMISSÕES, AUDITORIA, PROPRIETÁRIO e PERMISSÕES EFETIVAS.

Na Guia Permissões, tenho também listado o usuário 273739-user_who.gif com controle total.

Na Guia Proprietário, E AGORA acho que é um bom indício, QUEM ESTÁ COMO PROPRIETÁRIO????

Sim, ele mesmo, o usuário 273739-user_who.gifS-1-5-21-1343024091-1592454029-725345543-1003.

Segundo um artigo que pode ser encontrado em

http://www.beginningtoseethelight.org/efsrecovery/index.php

O autor diz que os números 1343024091-1592454029-725345543 referem-se à ID da máquina e existem também outras informações pertinentes ...

D. Outra questão importante é que a máquina foi formatada em 14/10/2006 e na pasta onde são guardadas informações sobre as chaves criptográficas do Windows XP para o usuário em questão ...

C:Documents and Settingsuser01Dados de aplicativosMicrosoftCryptoRSAS-1-5-21-1801674531-813497703-725345543-1003

tenho um arquivo

dac56a91d0232dd42d2178b7ebc3b6e8_5b7f9dde-7635-4f9a-9cfd-8cb205d6db97

criado em 13/10/2006

Enquanto todos os outros 3 arquivos, datam de 14/10/2006

Também estou tentando como software Advanced EFS Data Recover da ElcomSoft, que pode ser encontrado em

http://www.elcomsoft.com/aefsdr.html mas até agora nada.

Se alguém tiver alguma sugestão, estou aceitando qualquer coisa.

Como dizem os gaúchos,

NÃO TÁ MORTO QUEM PELEIA, POR QUE PELEJAR ESTÁ NA ALMA DO TROPEIRO.

Forte Abraço.

Tarcizio.

PS: Tenho SKYPE, ICQ, MSN, VNC, para quem tiver alguma sugestão e quiser dar uma olhada mais de perto na máquina.

0

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pela Documentação Oficial da Microsoft, se você perdeu as chaves de Criptografia do Usuário e do Agente de Recuperação (Provavelmente o Administrador, antes de você formatar) Voce não tem como recuperar o arquivo!!

Anderson Hoffmann


Anderson Hoffmann do Carmo

MCP | MCDST | MCSA | MCTS | MOS | ITILV3F | ISFS

0

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi tarciziop:

Gostaria de saber se você conseguiu resolver este problema, porque aconteceu fato idêntico comigo e estou desesperado a procura de uma solução.

Grato.

0

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá:

Inicialmente digo que o caso não é tão grave assim, acho que pode haver uma solução dado o que já pesquisei.

<font color="red">1.</font> Instalei o Windows XP Professional, no início do ano, com único um usuário "USER01" (Usuário Administrador do Sistema) e defini, posteriormente, uma senha "XYZWTRP" para este usuário. O Windows XP ficou instalado na primeira partição de meu disco rígido, obtendo a identificação C:

<font color="red">2.</font> Criptografei alguns arquivos que estavam em uma pasta na segunda partição de meu disco rígido (D:)

<font color="red">3.</font> Formatei a partição C: mas não sabia que tinha de fazer o backup das chaves ou certificados contidos neste disco.

<font color="red">4. </font><font color="red"><font color="#000000">Agora que instalei novamente o Windows XP, com o mesmo usuário e a mesma senha, não consigo acessar os arquivos que foram criptografados na pasta da partição D:

Vamos aos fatos que podem ajudar numa possível recuperação.

<font color="#0000ff">

A.</font> Entrei no Windows Explorer-->Menu Ferramentas-->Opções de Pasta-->Guia Modos de Exibição--> E desmarquei a opção USAR COMPARTILHAMENTO SIMPLES DE ARQUIVO.

Com isso, agora consigo acessar mais informações das pastas criptografadas (EM VERDE) quando clico com o botão direito do mouse sobre elas e escolho a opção PROPRIEDADES no menu contexto que aparece.

<font color="#0000ff">B.</font> Fiz o seguinte.

Peguei uma das pastas criptografadas, cliquei com o botão direito do mouse sobre ela, escolhi a opção PROPRIEDADES e logo em seguida, na janela que abriu com as Propriedades da Pasta, acessei a Guia Segurança.

Na Guia SEGURANÇA tenho duas grandes seções.

Uma delas é NOMES DE GRUPOS OU USUÁRIOS, onde aparecem:

Administradores (COMPUTADORAdministradores)

</font></font><font color="red"><font color="#000000"></font></font><font color="red"><font color="#000000">PROPRIETÁRIO CRIADOR

S-1-5-21-1343024091-1592454029-725345543-1003

</font></font><font color="red"><font color="#000000"></font></font><font color="red"><font color="#000000">SYSTEM

</font></font><font color="red"><font color="#000000"></font></font><font color="red"><font color="#000000">Usuários (COMPUTADORUsuários)

Reparem que existe um usuário com o ícone</font></font><font color="red"><font color="#000000">. Este usuário pode ser a resposta para o problema da recuperação dos arquivos encriptados com o EFS (Encrypted File System) do Windows XP.</font></font>

<font color="red"><font color="#000000">

<font color="#0000ff">C.</font> Ainda na Guia SEGURANÇA temos o botão AVANÇADO.

Clicando nele temos a janela Configurações de Segurança Avançadas para PASTA_TAL

Temos as Guias, PERMISSÕES, AUDITORIA, PROPRIETÁRIO e PERMISSÕES EFETIVAS.

Na Guia Permissões, tenho também listado o usuário </font></font><font color="red"><font color="#000000"> com controle total.

Na Guia Proprietário, E AGORA acho que é um bom indício, QUEM ESTÁ COMO PROPRIETÁRIO????

Sim, ele mesmo, o usuário </font></font><font color="red"><font color="#000000"> </font></font><font color="red"><font color="#000000">S-1-5-21-1343024091-1592454029-725345543-1003.

Segundo um artigo que pode ser encontrado em

<a href="http://www.beginningtoseethelight.org/efsrecovery/index.php" target="_blank">http://www.beginningtoseethelight.org/efsrecovery/index.php</a>

O autor diz que os números </font></font><font color="red"><font color="#000000">1343024091-1592454029-725345543 referem-se à ID da máquina e existem também outras informações pertinentes ...

<font color="#0000ff">D. </font></font></font><font color="red"><font color="#000000">Outra questão importante é que a máquina foi formatada em 14/10/2006 e na pasta onde são guardadas informações sobre as chaves criptográficas do Windows XP para o usuário em questão ...

C:Documents and Settingsuser01Dados de aplicativosMicrosoftCryptoRSAS-1-5-21-1801674531-813497703-725345543-1003

tenho um arquivo

dac56a91d0232dd42d2178b7ebc3b6e8_5b7f9dde-7635-4f9a-9cfd-8cb205d6db97

criado em 13/10/2006

</font></font><font color="red"><font color="#000000">Enquanto todos os outros 3 arquivos, datam de 14/10/2006

Também estou tentando como software Advanced EFS Data Recover da ElcomSoft, que pode ser encontrado em

http://www.elcomsoft.com/aefsdr.html mas até agora nada.

Se alguém tiver alguma sugestão, estou aceitando qualquer coisa.

Como dizem os gaúchos,

NÃO TÁ MORTO QUEM PELEIA, POR QUE PELEJAR ESTÁ NA ALMA DO TROPEIRO.

Forte Abraço.

Tarcizio.

PS: Tenho SKYPE, ICQ, MSN, VNC, para quem tiver alguma sugestão e quiser dar uma olhada mais de perto na máquina.

</font></font>

Estou com o mesmo problema e, assim como Antonio Octavio, também quero saber se o Tarcizio resolveu...

0

Compartilhar este post


Link para o post
Compartilhar em outros sites
    • 5 Mensagens
    • 188 Visualizações
    • 1 Mensagens
    • 237 Visualizações
    • 2 Mensagens
    • 138 Visualizações
    • 2 Mensagens
    • 170 Visualizações
    • 2 Mensagens
    • 277 Visualizações

  • Postagens Recentes

    • Quando clico no arquivo o computador pergunta se quero enviar para lixeira
      oolbars\Internet Explorer\skypeieplugin.dll
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
      O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
      O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
      O20 - Winlogon Notify:  GbPluginBb - C:\Program Files (x86)\GbPlugin\gbieh.dll
      O20 - Winlogon Notify:  GbPluginCef - C:\Program Files (x86)\GbPlugin\gbiehCef.dll
      O23 - Service: Adobe Active File Monitor V9 (AdobeActiveFileMonitor9.0) - Adobe Systems Incorporated - C:\Program Files (x86)\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe
      O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
      O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
      O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe
      O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
      O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
      O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgidsagent.exe
      O23 - Service: Watchdog do AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgwdsvc.exe
      O23 - Service: Bluetooth Device Monitor - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe
      O23 - Service: Bluetooth Media Service - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\mediasrv.exe
      O23 - Service: Bluetooth OBEX Service - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe
      O23 - Service: Serviço do Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
      O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
      O23 - Service: TrueSuiteService (FPLService) - HP - C:\Program Files (x86)\HP SimplePass 2011\TrueSuiteService.exe
      O23 - Service: GamesAppService - WildTangent, Inc. - C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe
      O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia - C:\PROGRA~2\GbPlugin\GbpSv.exe
      O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
      O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
      O23 - Service: HP Health Check Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
      O23 - Service: HP Client Services (HPClientSvc) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe
      O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe
      O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
      O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
      O23 - Service: HPWMISVC - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
      O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
      O23 - Service: IconMan_R - Realsil Microelectronics Inc. - C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe
      O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
      O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
      O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
      O23 - Service: lxbk_device -   - C:\Windows\SysWOW64\lxbkcoms.exe
      O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
      O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
      O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
      O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
      O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
      O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
      O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
      O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
      O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
      O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
      O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
      O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10102 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
      O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
      O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
      O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
      O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
      O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
      O23 - Service: Warsaw Technology - GAS Tecnologia LTDA - C:\Program Files\Diebold\Warsaw\core.exe
      O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
      O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
      O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) --
      End of file - 16650 bytes   Obrigada. -->