manilo101
Goto Top

EFS Verschlüsselung aufheben bei gelöschtem aber bekanntem passwort

Unwissenheit schützt nicht vor Problemen.

Mein Sohn hatte ein paar Probleme mit seinem XP Media Center. Die konnte ich soweit beheben. Leider brauchte ich dazu Zugang zu seinem Account. Da ich ihn nicht telefonisch erreicht habe, habe ich meinen administrativen Zugang kurzerhand dazu verwendet, sein Passwort zurück zu setzen. Was ich nicht wusste ist, dass er paar Dateien via EFS verschlüsselt hatte. Ich habe auch nicht nachgesehen weil ich der Meinung war, EFS gibt es nur im Prof. Nun habe ich sein PW wieder auf das alte gesetzt als er da war. Logischerweise gibt es aber keinen Zugriff auf die Dateien. Das Zertifikat ist auch nicht gesichert.
Habe ich irgend eine Möglichkeit, die Daten zu entschlüsseln? Wie gesagt, das eigentliche PW ist ja noch vorhanden. Es handelt sich um eine Abschlussarbeit und er hat sieauch nicht gesichert.

Ich weiß, viele Fehler.
Gibt es eine Freeware die einen BruteForce Attacke ermöglicht? Da das Passwort ja bekannt ist, sollte das dann doch rel. schnell möglich sein?

Kann jemand helfen?

Wäre dankbar.

MfG
Manilo

Content-ID: 158841

Url: https://administrator.de/contentid/158841

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

Biber
Biber 17.01.2011 um 21:15:08 Uhr
Goto Top
Moin manilo101,

bevor hier wieder (berechtigte) Kommentare zum Thema "Fragen nach Aushebeln/Knacken/Entschlüsseln/Umgehen von whatever" kommen.

EFS-Verschlüsselung ist REALISTISCH nur mit drei Grundvoraussetzungen zu entschlüsseln:

  • Username und Password muss bekannt sein (und darf nicht am User vorbei "resettet" worden sein)
  • die Schlüssel müssen im Zugriff sein
  • ein professionelles (=kostenpflichtiges) Werkzeug mit dem darin enthaltenen Knowhow muss mit diesen drei Basiselementen wissen, was zu tun ist.

Das "preisgünstigste" Profitool mit halbwegs Erfolgsaussichten ist m.W. in oder um Fa. Elcomsoft und bei oder um ca. 100 Euronen angesiedelt (für XP-Rechner).

Irgendwelchen Kiddieversprechungen mit "boah, mit Brut-Forz geht das abba" oder Computerbild-CDs brauchst du nicht herjagen
- mit Bordmitteln und ein paar Zeilen Turbo-Pascal ist es nicht machbar.

Nochmal ganz in Hochdeutsch: Brute-Force-Attacke sinnlos. Punkt.

Ich lasse den Beitrag -unverpapierkorbt- hier stehen, falls jemand dich über PN auf eine Alternative lenken will.

Kasperkommentare wie "das entschlüssel ich dir mit meinen Superdark-Schulhof-Turbogangstatoolz 3.0 in zwei Minuten" bratz ich weg.
Links auf estländische Fileserver auch.

Viel Glück
Biber
askando
askando 18.01.2011 um 08:44:57 Uhr
Goto Top
EFS lässt sich meines Wissens nicht durch Bruteforce knacken.

also ich habe diesen Artikel im Internet gefunden. Auch wenn ich verstehe wie er das gemacht hat würde ich selbst wenn es eigene Daten wären mir den Stress nicht antun. Ganz nach dem Motto solange deine Daten unter meinem Gehäuse liegen bin ich der einzige der hier verschlüsselt face-smile

Zitat:
Ziemlich komplizierte Sache.Hab alles mögliche versucht.Naja letzendlich hab ich es mit dem wiederherstellungsagnten mit zuhilfenahme eines anderen zertikates das ich auf einigen umwegen über die regedit und nem hexeditor dazu überreden konnte, das es sicher ist, und das ich dieses ebenso zum entschlüsseln von anderen Daten nehmen kann. Viel nachgelesen in der Hilfe im Internet usw.! Hat aber letzendlich doch zum erhofften erfolg geführt.Es ist und bleibt halt eben doch nur Windows.Alles ist knackbar man muss nur wissen wie und womit. So mehr erzähl ich jetzt nicht mehr, sonst kann ich hier gleich nen Hackerguide draus machen!

Selbst ausprobieren.
manilo101
manilo101 18.01.2011 um 10:24:03 Uhr
Goto Top
Ja Danke euch erst mal. Den von askando beschriebenen Beitrag habe ich schon gefunden. Der das geschrieben hat haut m.M gewaltig auf den Putz weil er nur Andeutungen macht aber nix erklärt. Kann er aber wohl auch nicht.
Mir ist eigentlich klar, dass ich da wohl Leergeld bezahle für meine Unwissenheit. Aber ich möchte nix unversucht lassen.
Ich hab jetzt mal testweise die Elcomm Advanced EFS Data Recovery als Trial runter geladen. Die sagt mir leider, dass die gefundene Datei nicht entschlüsselt werden kann. Das scheint also nur zu gehen, wenn das PW zwar resettet, also leer gemacht wurde, aber nicht, wenn es danach wieder gesetzt wurde. Ich muss mich aber erst noch genauer in die Softwarearbeitsweise einlesen. Lt. Beschreibung müsste mir die Software ja weiter helfen können. Wenn der Test erfolgreich ist gebe ich auch das Geld aus. Allerdings gibt es da noch Probleme. Auf dem Rechner selbst führt das Programm beim Ausführen sofort zu einem Absturz. Wenn ich die Festplatte in einen anderen PC einbaue und das Tool ausführe findet es zwar die Dateien, sagt aber, dass sie nicht entschlüsselt werden können. Ich vermute das liegt daran, dass, wie Biber schreibt, die Schlüssel ja da nicht im Zugriff sind

Beim lesen, wie ich das Problem löse, bin ich an BruteForce vorbei geschrammt. Es wurd aber geschrieben, dass es ewig lang dauert. Ich dachte mir nur, dass da, weil ja das Original-PW bekannt ist, was zu machen wäre.

Eine weitere Idee hätte ich noch. Das PW ist ja bekannt. Wurde halt nur gelöscht und wieder neu (gleiches PW) vergeben. Das PW ist doch in der SAM gespeichert. Habe ich eine Chance, eine frühere SAM zu importieren? Da müsste dann doch das alte PW wieder wirksam sein?

Wenn Infos dazu nicht Forentauglich sind dann gern auch per PM.

Danke für eure Hilfe.
askando
askando 18.01.2011 um 10:46:31 Uhr
Goto Top
windows legt automatisch backups von den Registry Keys an moment ich suche dir eben den Pfad. ich meine wenn du den zeitpunkt vor der passwort löschung herstellen kannst von der Sam könntest du es damit schaffen

mmh versuche erstmal den Standardweg über Systemwiederherstellung vielleicht hat dein System ja automatisch gute Punkte gesetzt http://support.microsoft.com/kb/322756

das sollte genau das selbe sein nur ich habs halt früher per hand machen müssen. Per Gui ist es definitiv einfacher good luck face-smile
manilo101
manilo101 19.01.2011 um 09:32:14 Uhr
Goto Top
So, Zugriff wieder möglich. Gott sei dank. Leider kann ich nicht genau sagen, was nun eigentlich den Erfolg gebracht hat. Ganz klar ist mir das alles nicht.
Das PW war ja wieder gesetzt. Damit hab ich keinen Überblick ob nach der Wiederherstellung das originale PW wieder aktiv war. Direkt nach der Wiederherstellung war auch kein Zugriff möglich. Ich habe dann im certmgr nachgesehen und festgestellt, dass unter "Eigene Zertifikate" liegende Zert mit Gültigkeit ab Zeitpunkt der neuen PW Eingabe nach der Löschung terminiert war. Das konnte ja eigentlich nicht sein weil die Datein ja eher verschlüsselt wurde. Ich habe dan im certmgr unter "Vertrauenswürdige Personen" eine Kopie des Zertifikates gefunden. Dort lautete das Gültigkeitsdatum noch von früher her. Ich habe dann dieses exportiert. Dann das falsche eigene Zert gelöscht und dort dann das exportierte importiert. Dann ging der Zugriff wieder.

Ich glaube ich habe viel Glück gehabt.

Danke euch für eure Hilfe
MfG
Manilo