[XP] Files Harddisk Encrypted - Windows clients

maandag 23 april 2007 15:09

Acties:

Verwijderd

Topicstarter

Hallo,
Ik ben in het bezit van een externe harddisk.
Mijn broer heeft een keer rotzooi erop gegooid en daar zat een nogal gemeen virus op.
Het virus heeft een aantal mappen Encrypted met een code.
Waaronder onze hele verzameling van onze foto's van 4 jaar oud.
Ik krijg telkens als ik probeer het bestand te kopieren Toegang Geweigerd.
Ik heb ook al geprobeerd om met de certificaten te klooien maar dit mocht niet baatten.
Hoe kan je een Encrypted Map weer Decrypted maken.
Het is beveiligd met behulp van Computernaam en een Vingerafdruk Code zoals ze het daar noemen.
Iemand hier ervaring mee?
Ik heb werkelijk alles al geprobeerd maar niets wil helpen.

Groeten Ronald

maandag 23 april 2007 15:10

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Welk virus exact?

Exchange en Office 365 specialist. Mijn blog.

maandag 23 april 2007 15:10

Acties:

BasieP

als je weet welk virus het is kan je daar eens over op internet zoeken.

het hijacken van bestanden is weer helemaal hip dit jaar, dus kan van alles zijn..

This message was sent on 100% recyclable electrons.

maandag 23 april 2007 15:13

Acties:

Verwijderd

Ben niet echt thuis in encrypten van folders en files, maar is het in een hoop gevallen niet zo dat je met aangeleverde software bij dat soort apparaten automatisch alle bestanden encrypt? (met als doel natuurlijk om onbevoegde computers/gebruikers de bestanden niet uit te laten lezen) En dat die encryptie er in dit geval dus zelf op is gezet?

[ Voor 16% gewijzigd door Verwijderd op 23-04-2007 15:14 ]

maandag 23 april 2007 15:16

Acties:

LieveNiels

On Fire

Het is hier tegen de policy om topics te openen over het omzeilen van beveiligingen, belangrijke foto's of niet.

maandag 23 april 2007 15:18

Acties:

Verwijderd

Topicstarter

Jazzy schreef op maandag 23 april 2007 @ 15:10:
Welk virus exact?

Het virus weet ik niet meer maar ik kan ook bepaalde bestanden op de harddisk niet meer benaderen.
Ik heb wel even een pic om te laten zien wat er aan de hand is :
Afbeeldingslocatie: http://img253.imageshack.us/img253/1464/naamloostp4.png

Afbeeldingslocatie: http://img253.imageshack.us/img253/1464/naamloostp4.png

Afbeeldingslocatie: http://img257.imageshack.us/img257/4923/naamloos1fk3.png

Groeten Ronald

maandag 23 april 2007 15:29

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

En ben je nu ingelogd als lokale administrator?

Exchange en Office 365 specialist. Mijn blog.

maandag 23 april 2007 15:32

Acties:

Verwijderd

Topicstarter

Jazzy schreef op maandag 23 april 2007 @ 15:29:
En ben je nu ingelogd als lokale administrator?

Jep maar ik heb het ook geprobeerd met alle rechten van de administrator.
Uhm... nog even iets.
Ik heb later een nieuwe windows geïnstalleerd omdat die vol zat met virussen die mijn broer dus ook op die externe harddisk heb gezet.
Kan dit ook meespelen in het decrypten van de files?

maandag 23 april 2007 15:33

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Ja, want alleen de account waaronder ze encrypt zijn kan ze weer decrypten.

Exchange en Office 365 specialist. Mijn blog.

maandag 23 april 2007 15:35

Acties:

alt-92

ye olde farte

Euh..

Ja

Want het EFS (Encrypted File System) certificaat wat gebruikt is om dit te doen is door het herinstalleren ongeldig geworden.
Dat betekent dat deze files niet meer decrypted kunnen worden zonder het certificaat, of de Recovery Agent.

Ik zet nog even XP in de topictitel, per Windows Clients - Policy , wil je dat volgende keer zelf doen?

[ Voor 21% gewijzigd door alt-92 op 23-04-2007 15:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 april 2007 15:35

Acties:

Verwijderd

Topicstarter

Jazzy schreef op maandag 23 april 2007 @ 15:33:
Ja, want alleen de account waaronder ze encrypt zijn kan ze weer decrypten.

Zou je deze z.g.n vingerafdruk code ook wijzigen in deze pc.
ergens in het register mischien?
want als je windows opnieuw installeerd krijg je een nieuwe vingerafdruk code.
terwijl ik mijn computernaam hetzelfde heb gelaten.

maandag 23 april 2007 15:35

Acties:

To_Tall

De HDD mee nemen naar de PC waarvan de disk afkomt. inloggen als admin en je hebt weer toegang tot je bestanden.

A Soldiers manual and a pair of boots.

maandag 23 april 2007 15:35

Acties:

sh4d0wman

Attack | Exploit | Pwn

Opnieuw geinstalleerd?
Dan moet je misschien eerst even take ownership doen op die files. Test eerst even met 1 file:

rechtsklik er op
kies voor beveiliging of security
kies voor geavanceerd of advanced
kies voor eigenaar of ownership
check dat hier administrator staat en geef aan dat de rechten op het bestand en submappen opnieuw ingesteld worden

probeer het dan nog eens.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 23 april 2007 15:36

Acties:

Verwijderd

Topicstarter

alt-92 schreef op maandag 23 april 2007 @ 15:35:
Euh..

Ja Want het EFS (Encrypted File System) certificaat wat gebruikt is om dit te doen is door het herinstalleren ongeldig geworden.
Dat betekent dat deze files niet meer decrypted kunnen worden zonder het certificaat, of de Recovery Agent.

Nee het certificaat is nog wel geldig.
Het certificaat verloopt op 5-2-2107 om 20:00

To_Tall schreef op maandag 23 april 2007 @ 15:35:
De HDD mee nemen naar de PC waarvan de disk afkomt. inloggen als admin en je hebt weer toegang tot je bestanden.

Dat is het probleem.
Die windows (PC) bestaat niet meer met deze rechten anders was het nu al opgelost geweest.[quote]

sh4d0wman schreef op maandag 23 april 2007 @ 15:35:
Opnieuw geinstalleerd?
Dan moet je misschien eerst even take ownership doen op die files. Test eerst even met 1 file:

rechtsklik er op
kies voor beveiliging of security
kies voor geavanceerd of advanced
kies voor eigenaar of ownership
check dat hier administrator staat en geef aan dat de rechten op het bestand en submappen opnieuw ingesteld worden

probeer het dan nog eens.

Dit heb ik ook geprobeerd maar dat mocht niet baten.

[ Voor 50% gewijzigd door alt-92 op 23-04-2007 15:46 ]

maandag 23 april 2007 15:38

Acties:

Verwijderd

Topicstarter

alt-92 schreef op maandag 23 april 2007 @ 15:35:
Euh..

Ja Want het EFS (Encrypted File System) certificaat wat gebruikt is om dit te doen is door het herinstalleren ongeldig geworden.
Dat betekent dat deze files niet meer decrypted kunnen worden zonder het certificaat, of de Recovery Agent.

Ik zet nog even XP in de topictitel, per Windows Clients - Policy , wil je dat volgende keer zelf doen?

Ooh... Dat wist ik niet ben nieuw op dit forum:S

maandag 23 april 2007 15:40

Acties:

alt-92

ye olde farte

Ronald-Kazimier, wil je voortaan de editknop gebruiken als je meerdere toevoegingen wil doen?
Ik heb je berichten nu even bij elkaar gezet.

Bovendien kan je in één post meerdere antwoorden quoten van anderen, zie de http://gathering.tweakers.net/forum/faq hoe dat moet.

[ Voor 11% gewijzigd door alt-92 op 23-04-2007 15:49 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 april 2007 15:43

Acties:

Verwijderd

Verwijderd schreef op maandag 23 april 2007 @ 15:36:
[...]

Nee het certificaat is nog wel geldig.
Het certificaat verloopt op 5-2-2107 om 20:00

Probeer eens een recoverytool voor je harddisk als getdataback hiermee heb ik ook mn overgeschreven/gecrashte/geformatteerde hd's kunnen redden... probeer eerst gratis en daarna kost het je helaas 94 euro...

http://www.runtime.org/

maandag 23 april 2007 15:44

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op maandag 23 april 2007 @ 15:43:
[...]

Probeer eens een recoverytool voor je harddisk als getdataback hiermee heb ik ook mn overgeschreven/gecrashte/geformatteerde hd's kunnen redden... probeer eerst gratis en daarna kost het je helaas 94 euro...

http://www.runtime.org/

Dit heb ik ook al geprobeerd.
Maar is er geen manier om deze certificaten ongeldig te verklaren waardoor de data weer decrypted kan worden.
Of dat je een programma hebt waarmee je de code kan kraken voor het gebruik hiervan?

maandag 23 april 2007 15:57

Acties:

alt-92

ye olde farte

Dat zou het hele idee achter het Encrypten van bestanden een beetje ondergraven, denk je ook niet?

Als je bij Microsoft in de Knowlegde Base ( Advanced Search ) zoekt op EFS moet je vast wel het een en ander tegen kunnen komen over de werking, en waarom die certificaten zo belangrijk zijn.

Ook hier [search=EFS XP] moet wel wat kunnen opleveren.

Neem ook de Windows Clients - FAQ even door, want ook daar staat informatie in.

[ Voor 19% gewijzigd door alt-92 op 23-04-2007 16:08 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 april 2007 19:42

Acties:

Verwijderd

Topicstarter

bestaat het oude userprofiel op de c partitie nog? als het goed is zit hier namelijk het certificate in dat je nodig hebt om EFS te "Unlocken"

Dit las ik op een ander topic.
waar moet dit certificaat staan.
Ik kan met het programma getdataback de andere gegevens mischien terugkrijgen....

maandag 23 april 2007 20:04

Acties:

sanfranjake

Computers can do that?

Kom op zeg, je kan zelf het gebruikersprofiel toch wel vinden

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 23 april 2007 21:35

Acties:

Verwijderd

Topicstarter

sanfranjake schreef op maandag 23 april 2007 @ 20:04:
Kom op zeg, je kan zelf het gebruikersprofiel toch wel vinden

Jawel alleen hoe wil je dat weer over je eigen profiel heen zetten>?

maandag 23 april 2007 21:59

Acties:

alt-92

ye olde farte

Eh.. Niet?

Je wil (als dat tenminste lukt want dat is afhankelijk van hoe je het certificaat installeert) alleen de certs recoveren, niet het hele profiel terugzetten. Dat werkt namelijk niet (je user SID is al anders).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 26 april 2007 16:48

Acties:

Verwijderd

Topicstarter

alt-92 schreef op maandag 23 april 2007 @ 21:59:
Eh.. Niet?

Je wil (als dat tenminste lukt want dat is afhankelijk van hoe je het certificaat installeert) alleen de certs recoveren, niet het hele profiel terugzetten. Dat werkt namelijk niet (je user SID is al anders).

Waar vindt je die SID van je gebruikerprofiel (ben het even kwijt)
normaal gesproken dan...

[ Voor 3% gewijzigd door Verwijderd op 26-04-2007 16:53 ]

donderdag 26 april 2007 16:57

Acties:

n1els

SID is een identificatie nummer, dit is uniek... júist vanwege de beveiliging en kan je dus niet aanpassen.

Dimidium facti qui bene coepit habet: sapere aude.

donderdag 26 april 2007 18:05

Acties:

Verwijderd

Topicstarter

n1els schreef op donderdag 26 april 2007 @ 16:57:
SID is een identificatie nummer, dit is uniek... júist vanwege de beveiliging en kan je dus niet aanpassen.

Nee niet om aan de passen.
Maar om te recoveren met GetDataBack.
Waar staat dit Identificatie nummer?

donderdag 26 april 2007 18:15

Acties:

Verwijderd

volgens mij zijn er tools, die het weer kunnen decrypten (heb het ooit gelezen op dit forum, dus ff zoeken

). De enige voorwaarde is dat je het paswoord van het account uit je screenshot nodig hebt.

donderdag 26 april 2007 18:16

Acties:

sanzut

It's always christmas time

misschien is een of andere linux live cd in staat om de files toch nog te lezen?

donderdag 26 april 2007 18:23

Acties:

sanfranjake

Computers can do that?

Ga nou gewoon eerst eens wat lezen, en wat doen met de tips. GoT is geen helpdesk, hebben we je al vaak zat verteld.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 26 april 2007 21:43

Acties:

grimson

domeingrommer

http://www.elcomsoft.com/...index.html?about_efs.html

The program can decrypt protected files only if encryption keys (at least, some of them) are still exist in the system and have not been tampered. If the system disk (where operating system was installed) has been reformatted, the machine was not a domain member, the user did not backup the user profile (or encryption keys), and recovery agent has not been set up, then the files are almost certainly lost for good, and AEFSDR will not be able to recover (decrypt them) them.

Zal ook wel voor alle andere tools gelden

[ Voor 82% gewijzigd door grimson op 26-04-2007 21:49 ]

Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk

donderdag 26 april 2007 21:54

Acties:

The Eagle

I wear my sunglasses at night

grimson schreef op donderdag 26 april 2007 @ 21:43:
http://www.elcomsoft.com/...index.html?about_efs.html

[...]

Zal ook wel voor alle andere tools gelden

Als ik hier kijk heb je denk ik eerst HOW TO: Use Ntbackup to Recover an Encrypted File or Folder in Windows 2000 nodig en ook How to add an EFS recovery agent in Windows XP Professional

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zondag 29 april 2007 16:58

Acties:

Verwijderd

Topicstarter

Er is niet één of ander programma die deze EFS code op 1 of andere manier kan kraken.
En nog een vraagje.
Op basis waarvan genereerd Windows XP zo'n code om het te beveiligen?

Groeten Ronald

zondag 29 april 2007 17:51

Acties:

alt-92

ye olde farte

Dat staat toch ook al uitgelegd in de bovenstaande link van grimson?

+ dat je er een goeie PKI tutorial bij wil zoeken om te weten wat een private en een public key is

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1

Reageer