Odszyfrowanie plików zaszyfrowanych w EFS bez certyfikatu z poprzedniego systemu

Witam , mianowicie zrobiłem reinstal systemu na inny dysk twardy , i straciłem możliwość odzyskania certyfikatu z poprzedniego systemu .
Dane zaszyfrowane w Windows 10 przez funkcję zaszyfruj plik w właściwościach pliku . Próbowałem dodawać prawa dostępu, cuda wianki , dziedziczenie plików włączałem , wyłączałem , próbowałem wszystkiego co znalazłem w google( po angielsku też) . Przez różne programy . Pisze tutaj bo to w sumie ostatnia deska ratunku . Udało się komuś odzyskać plik zaszyfrowany w EFS bez certyfikatu ? starą nazwę użytkownika jak i hasło pamiętam. Są niby programy które to oferują ale to pic na wode fotomontaż ,próbują odzyskać certyfikat a owego napewno już nie odzyskam bo nadpisany już ze 3 razy jak nie więcej . A te które może by dały sobie z tym radę kosztują po 700 dolarów a i tak nie ma pewności że zadziałają . Tak że proszę o pomoc. Dodam że pliku nie da się nawet kopiować , jedynie program do odzyskiwania danych potrafi przenieść go w inną lokalizację ale dalej odmowa dostępu .

user2293 napisał:

mianowicie zrobiłem reinstal systemu na inny dysk twardy

skoro na inny dysk, to dotychczasowy sys jeszcze nietknięty?

user2293 napisał:

odzyskać certyfikat a owego napewno już nie odzyskam bo nadpisany już ze 3 razy jak nie więcej

zabezpieczyłeś plik przed samym sobą. Jedynym ratunkiem jest odzyskanie z backupu certów z tego systemu. Robiłeś backupy? Jeśli nie, to masz pozamiatane.

tu masz trochę info o EFS Link

I Ty cały czas wykonujesz te operacje na tym samym dysku? Odszukaj rekord $MFT opisujący ten plik (to na pewno masz) i stary rejestr systemowy(to prawdopodobie niestety straciłeś).

No to chyba mam pozamiatana , bo dysk gdzie mógł być back up został wyczyszczony w diskpart , potem zformatowany i zapisany do pełna dnaymi... Nie zabezpieczałem , folder do którego go wkleiłem musiał mieć taki atrybut i przejoł..

Dodano po 1 [minuty]:

Jak zorientowałem się że plik potrzebny jest zaszyfrowany to już było po fakcie ,bo poprzedni dysk systemowy tak jak pisałem był przeorany , i zapisany do pełna .

user2293 napisał:

dysk gdzie mógł być back up został wyczyszczony w diskpart

backup trzeba nie tylko zrobić, ale i przechowywać stosowną ilość czasu.

Kaleron - mam 4 dyski , dodawałem dysk nvme i robiłem clone systemu który nie wyszedł bo coś z boota nie poszło jak trzeba , a nie zdawałem sobie sprawy że tamto jest wogulę zaszyfrowane . Pytanie jak odszukam rekord $MFT co z nim zrobić ? :)

Dodano po 3 [minuty]:

Ale tak się składa że odzyskałem trochę danych ze skasowanego clona , tylko nie wiem jakiego pliku konkretnie szukać z tym certyfikatem , gdzieś na anglojęzycznym forum wyczytałem że w users , pod nazwą użytkownika gdzieś tam , odzyskałem trochę starych plików z tego folderu . Czego szukać ? Znalazł bym sam ale nie śpię już ponad 24h i ciężko u mnie ze skupieniem .

Będziesz tam miał atrybut 100. Sam dokładnie nie pamiętam, bo dawno tego nie robiłem i będę musiał sobie odświeżyć, ale jest wariant dojścia do klucza szyfrującego. Samo szyfrowanie zostało skompromitowane jakieś 20 lat temu, zanim jeszcze NTFS się upowszechnił i dlatego jest bardzo rzadko używane. Pamiętam, że rejestr był potrzebny. Jak go znajdziesz, pogrzebię w moich materiałach i odkopię procedurę.

Kaleron a mógł byś dokładnie napisać czego szukać ? mam dużo programów do odzyskiwania danych , ten plik ma jakąś nazwę rozszerzenie ? czy to nie jest raczej plik a jakiegoś typu metadane które się wyciąga programem ? dodam że ten plik który chce odzyskać nie był na dysku systemowym tylko na dysku hdd (trochę zajechanym) ale nic na niego nie kopiowałem , kompletnie nic nie jest nadpisane , mam praktycznie pełne możliwości wyciągania wszystkiego z tego dysku (oprócz zaszyfrowany tym cholernym EFS'em) . Dysk ssd 240gb na którym był przedtem system , uprzednio potraktowany Windowsowym diskpartem komendą clear , zformatowany i zapisany gdzieś w 75%

Dodano po 40 [minuty]:

dobra szukam już tego $MFT za pomocą Easeus data recovery , dam znać o wynikach

Dodano po 1 [godziny] 53 [minuty]:

https://github.com/jschicht/MftRcrd/blob/35c3...413a0b69168d55e938224d823cdcfcf/MFTRCRD64.exe czy takie coś się nadaje ?

Dodano po 14 [minuty]:

Albo jakieś oprogramowanie od tego użytkownika https://github.com/jschicht

Dodano po 1 [godziny] 41 [minuty]:

Rawcopy się do tego nadaje ?

user2293 napisał:

czego szukać ?

- klucza szyfrującego.

Tak - potrzebujemy metadanych (rekordu MFT opisującego Twój plik) i oryginalnego pliku rejestru. I może jeszcze czegoś - wybacz, ale to naprawdę rzadkie przypadki, nie pamiętam szczegółow, sam się będę z tym męczył i szukał za materiałóami, ale najpierw musimy wiedzieć, że mamy potrzebne dane wejściowe.

user2293 napisał:

kompletnie nic nie jest nadpisane

- znaczy na tamtej partycji, a czy plik rejestru też tam był? Bo w kontekście tego

user2293 napisał:

nadpisany już ze 3 razy jak nie więcej

daleki jestem od obiecywania, że cokolwiek nam się uda.

user2293 napisał:

Dysk ssd 240gb na którym był przedtem system , uprzednio potraktowany Windowsowym diskpartem komendą clear , zformatowany i zapisany gdzieś w 75%

- no to po rejestrze. Możesz jeszcze znaleźć rekord MFT opisujący dany plik, to Ci go przeanalizuję, ale z tego, co pamiętam, zabraknie nam czegoś do odkręcenia tego szyfrowania.

Programów, które pokazujesz nie znam - ja to robiłem hex-deytorem.

Plik był na osobnym dysku fizycznym hdd , który nie został naruszony ale nie wiem jak wyciągnąć z niego co trzeba

Dodano po 57 [minuty]:

Czego szukać tym hex edytorem , bo jak odpalić w nim dysk wiem , oględnie umiem się nim posługiwać, ale nie wiem czego szukać

Rekordu MFT zawierającego opis pliku. Położenie MFT masz opisane w offsecie 0x30 boot-rekordu, właściwy rekord najłatwiej wyszukać wpisując do wyszukiwarki fragment nazwy pliku w unicode.

Możesz skopiować/otworzyć boot sektor w DMDE to sam Ci pokaże położenie $MFT jak nie bardzo wiesz o co chodzi.

Program DMDE znajduje dużo danych $MFT , co teraz z tym zrobić ?

Dodano po 12 [minuty]:

$MFT waży ok 2 mb ?

Dodano po 43 [sekundy]:

udało mi się wyciągnąć jakiś nie widzialny plik które jest , ale w eksploratorze go nie widać . waży 2 mb . Mogę go spakować w winrar i wrzucić , to jest chyba ten rekord MFT

Dodano po 2 [minuty]:

Z niego się wyciąga "klucz" , dane do generacji certyfikatu na nowo czy coś takiego ?

Kaleron i co zrobić z takim plikiem ? masz jakąś instrukcje albo tutorial ?

Wyszukaj w tym pliku rekord (2 sektory) opisujące plik i wystaw na forum tylko te dwa sektory. We właściwym rekordzie będziesz miał nazwę swojego pliku w unicode.

Nie mogłem przedtem dodawać tak plików , teraz działa ,

Dodano po 4 [godziny] 7 [minuty]:

Chodzi Ci o 2 całe sektory dysku w Hex ??

czy o coś takiego

Dodano po 1 [minuty]:

w danych po lewo widzę stare dane logowania z tamtej instalacji systemu

Dodano po 17 [minuty]:

łącznie to są bodajże 4 pliki które wchodzą w skład wirtualnej maszyny do odzyskania

Dodano po 13 [minuty]:

a reszta tych metadanych to same 0000 do samego dołu, do końca .

Dodano po 2 [minuty]:

To jest ten atrybut 100 o którym pisałeś ? czy nie ?

Dodano po 24 [minuty]:

Wrzucić mft od wszystkich zaszyfrowanych plików ?

Dodano po 34 [minuty]:

już wiem , jak kopiować sektory w tym programie , jak trzeba mogę je po prostu zapisać w formacie bin/img i zauploadować

Tak - o wiele łatwiej analizuje się zawartość, kiedy można ją otworzyć w hex-edytorze. Możesz wrzucić kilka rekordów dotyczących zaszyfrowanych plików. To ułatwi analizę.

Wysłałem na pm Kaleron . Fajnie by było jak by się udało coś z tego wyłuskać

Dodano po 2 [godziny] 16 [minuty]:

Coś jeszcze oprócz tego potrzebne ? jakiś rejestr albo coś ?

mam nadzieję że jak jakiś rejestr to też z tego dysku hdd na którym były pliki bo jak z systemowego ssd to nie ma szans

Jak możesz daj znać czy te pliki są poprawne i czy o to chodziło

Wstaw tu pliki .bin zawierające rekordy $MFT odnoście plików, które Cię interesują. Rekord $MFT składa się z dwóch sektorów, zaczyna się od sygnatury FILE i zawiera nazwę pliku, który opisuje w standardzie Unicode. Często zawiera dwie nazwy - jedną zgodną z POSIX i drugą typu DOSowego - 8 znaków nazwy i trzy znaki rozszerzenia. Widziałem, że mi coś wysłałeś na wiadomość, ale nie udało mi się tego pobrać.

Tylko nie wiem jak tutaj uploadować takie pliki , a dostałem ostrzeżenie od moderatora za używanie zewnętrznych uploadów , już otwieram program i spróbuje to jeszcze raz wyciągnąć , tylko to będą raczej 4 osobne pliki , bo nie umiem tak zaznaczyć żeby mi wyrywkowe sektory zapisało w jednym pliku

Masz opcję "dodaj załącznik"

Wiesz co , skopiowałem po 4 sektory , z zapasem jeden w tył i jeden w przód , i teraz otwieram w hex edytorze to wygląda to już ok . Tylko powiedz mi jak mogę zauploadować Ci ten pliki /wysłać

Dodano po 1 [minuty]:

Już znalazłem , szybkiej odpowiedzi nie ma takiej opcji tutaj 3 pliki bin bo w sumie te 3 pliki mi wystarczy odzyskać żeby VM działał

Jak by było potrzebne moje hasło z poprzedniego systemu to daj znać

To jeszcze poproszę po dwa sektory poczynając od:
1/ - 56688
2/ - 6291448
3/ - 53880

o kurde , zaraz spróbuję to ogarnąć

Dodano po 10 [minuty]:

Starałem się po 3 sektory z zapasem , ale w jednym miejscu nie mogłem , błąd mi wyskakiwał i tylko dwa weszły . Zobacz czy o to chodziło

ewentualnie jeszcze ten sektory , z zapasem skopiowane

Przepraszam że tak to rozdupione wrzuciłem , ale jak trzeba to wrzucę jeszcze raz i podpisze który sektor to który z tych co potrzebujesz

Dodano po 46 [minuty]:

Jak możesz to potwierdź czy dobre pliki wysłałem