Икс-файлы. Дешифруем EFS с помощью Advanced EFS Data Recovery

Автор: Майкл Демидов
Опубликовано: 31.03.2009
Источник: SoftKey.info

Проблема защиты данных от несанкционированного доступа – пожалуй, одна из извечных проблем человечества. Любители защитить от посторонних глаз свои файлы и папки сталкиваются (в случае дилетантского подхода к шифрованию) с другой трудностью: как расшифровать то, что буквально недавно было зашифровано. Безусловно, речь идет не только о паролях доступа, но и о так называемых сертификатах и ключах, создающих дополнительную защиту данных, которые, по законам Мерфи или подлости (кому как больше нравится), пользователи теряют, удаляют или забывают создать. В сегодняшнем материале мы прольем свет на то, как же все-таки получить доступ до защищенных данных, а помогать нам в этом будет приложение Advanced EFS Data Recovery от компании Elcomsoft.

Самым распространенным способом для шифрования данных в операционных системах Microsoft Windows 2000/XP/Vista является использование возможностей специальной файловой системы EFS (надстройка над NTFS), драйвер которой входит в поставку этих систем. Принцип работы состоит в том, что другим пользователям, помимо лица, совершившего операцию по шифрованию, файлы и папки становятся недоступными – при их открытии выдается соответствующее предупреждение об отказе в доступе. Кроме того, защита не снимается даже при копировании файлов на другой компьютер или винчестер с файловой системой NTFS. EFS использует для шифрования любой симметричный алгоритм – DESX, 3DES, AES, а сами файлы защищены многоступенчатой системой ключей. Коротко ее можно описать так: папка или файл шифруются ключом FEK, который добавляется автоматически в атрибуты (когда пользователь в меню "Свойства" включает соответствующие опции). Каждый FEK имеет мастер-ключ, который защищен ключом пользователя (он экспортируется в сертификат), под чьей учетной записью выполняется шифрование. В свою очередь, эти ключи шифруются еще и хеш-паролями от входа в систему, а они, наконец, еще и программой SYSKEY, препятствующей взлому базы данных пользователей. Нетрудно догадаться, что, если хотя бы одно звено этой цепочки "выпадет" (например, вы смените или вам сменят пароль от входа в Windows, вы забудете создать сертификат, содержащий ключ, или вообще переустановите полностью операционную систему), доступ к своим зашифрованным данным вы уже практически никогда не получите. "Практически" означает, что есть два варианта восстановления доступа: посредством штатных инструментов Windows (EFS Recovery Agent) или с помощью дополнительного программного обеспечения. Скажем сразу: в первом случае все действия носят достаточно сложный для понимания обычным пользователем характер и к тому же они предполагают, что до шифрования на компьютере уже были созданы специальные ключи для агентов восстановления (обычно это администраторские учетные записи). Восстановить доступ до зашифрованных в EFS данных можно, если у вас имеется созданная резервная копия системного диска или профиля пользователя в папке Documents and Settings (для Windows XP) или "Пользователи" (для Windows Vista). Если же выяснить это невозможно (у вас плохая память на события, операционная система не загружается или находится после серьезного сбоя), а также если вы не верите в то, что найдете все-таки системного администратора, который вам поможет, выход остается только один – воспользоваться программой Advanced EFS Data Recovery.

Отметим сразу, что для успешного восстановления данных необходимо получить прямой доступ к диску, на котором хранятся зашифрованные данные и ключи восстановления. Этого можно достичь или подключением винчестера к другому компьютеру, или установкой и загрузкой операционной системы (допустим, с LiveCD). После этого можно непосредственно приступать к расшифровке всех ключей на компьютере (предварительно осуществив их поиск), а также к дешифровке защищенных файлов.

Поиск данных в EFS

Выполнение операций по поиску и расшифровке данных в Advanced EFS Data Recovery может проводиться как в виде мастера, так и в обычном режиме (он рекомендован для продвинутых пользователей, но на практике ничего сложного в себе не заключает). Интерфейс состоит из трех вкладок: "EFS-данные", "Зашифрованные данные" и "Дерево файлов", а также справа отображаются инструменты для работы: "Искать ключи", "Добавить пароль пользователя", "Добавить пароль из словаря", "Добавить SYSKEY" и "Добавить сертификат". Процесс восстановления осуществляется следующим образом: пользователь на вкладке "EFS-данные" выбирает поиск ключей (мастер-ключей и пользовательских), указав в появившемся окне, на каком логическом диске они могут находиться, после чего запускается сканер, выводящий в окне все найденные ключи. В этом режиме программа работает автоматически, вылавливая пароли из кеша, удаленных или системных файлов и проверяя тривиальные комбинации, когда логин совпадает с паролем. Дополнительно можно искать ключи и на сервере и, найдя их, сохранить результаты и воспользоваться ими уже на локальной машине. Если ничего не найдено, то следует воспользоваться другими инструментами – например, добавить пароль из словаря (запускается атака по встроенному словарю). В конечном итоге на экране отобразится список найденных ключей, и тогда можно будет приступать ко второй части, перейдя на вкладку "Зашифрованные данные". Здесь от пользователя потребуется указать, где же на компьютере находятся необходимые файлы и папки, после чего будет произведен их поиск. Следует отметить, что операции по поиску и в том, и в другом случае занимают довольно длительное время, несмотря на то что специалисты из Elcomsoft работают над оптимизацией этого параметра. Так, в нашем случае поиск ключа на 6 Гб разделе винчестера занял около минуты, а нахождение зашифрованной папки с ее содержимым (общий размер – 3 Мб) – еще 2 минуты. Чтобы сократить второй тайм-аут, на поиск можно указать конкретный путь до защищенных объектов в третьей вкладке ("Дерево файлов"). Кроме того, пользователь может установить приоритет работы приложения – от высокого до низкого. Итак, в конце концов на вкладке "Зашифрованные данные" появляются все объекты, которые нашла программа. Обратите внимание на то, что они раскрашены несколькими цветами: легенда внизу окна объясняет, что это значит (если кратко, зеленым отмечены те файлы, которые еще можно восстановить, розовым – которые уже не получится). Соответственно, от вас потребуется выделить нужные файлы и папки и нажать кнопку "Дешифровать".

Раскрашенные файлы символизируют возможность восстановления и дешифровки

Мастер же упрощает данный процесс до нескольких нажатий мышью: при его загрузке нужно выбрать один из двух вариантов (в зависимости от того, есть у вас персональный сертификат от EFS или нет), после чего дождаться окончания поиска зашифрованных данных. В любой момент работы мастера пользователь может переключиться в вышеописанный продвинутый интерфейс программы (мы считаем, что это будет целесообразным решением). Из других удобных опций в Advanced EFS Data Recovery есть возможность сохранения найденных результатов (ключей и списка файлов) во избежание потери их в будущем (допустим, при очистке кеша), а также протоколирование всех операций.

Дешифровка - достаточно долгий процесс

В тесте мы пытались расшифровать данные под Windows Vista, однако Advanced EFS Data Recovery поддерживает и другие системы (в том числе и Windows 2003 Server, и Windows 2008 Server). Так, в Windows 2000 возможна расшифровка всех файлов, даже если неизвестны пароли ни администраторской, ни пользовательской учетной записи. Во всех случаях степень успешной дешифровки данных стремится к 100% (эксперты Elcomsoft дают оценку в 99%).

Advanced EFS Data Recovery поставляется в двух редакциях – Standard и Professional. Последняя отличается более продвинутым поиском ключей (есть возможность посекторного анализа дисков и поиск в удаленных файлах, например, в процесс форматирования диска), что влияет на стоимость решения (в два раза выше, чем у Standard). Демонстрационная версия приложения позволяет расшифровать только первые 512 байт файла. Интерфейс программы доступен на русском, английском и немецком языках.