Desencriptar Carpeta en Windows XP

M@nolito007

Lanero Reconocido
Se unió
7 Mar 2004
Mensajes
626
Resulta que en un PC con Windows XP, me toco formatear e instalar todo de nuevo, y este tenia varias particiones :d en D se gurardaba todos los archivos , para no perderlos si tocaba formatear, el "pequeño problemita" es que Encriptaron los datos de una carpeta en particular, ahora que se instalo y se crearon nuevamente los usuarios, aparece la carpeta pero NO SE DEJA ABRIR, ya utilice el "Advanced EFS Data Recovery", y al parecer me quedo grande , porque no logro desencritar algo :s, utilice el "GetDataBack for NTF", porque la particion esta en NTFS, y no me logra recuperar la carpeta del usuario original,
POR FA ALGUIEN QUE SEPA COMO HAGO PARA DESENCRIPTAR ESA CARPETA :S
 

SinisteR

Lanero Reconocido
Se unió
5 Dic 2004
Mensajes
820
Si la carpeta estaba protegida y formateaste lo que tienes que ghacer es heredar los permisos de esa carpeta para el usuario actual y eso se puede y muy facil ya veras.
1ero. Vas al explorador de windows o a mi pc y despues a Herramientas/Opciones de carpeta/Ver/ y aqui en la ultima casilla que dice "Utilizar uso compartido simple de archivos (recomendado) la desclickeas y sales de ahi aceptamndo todo.
2do. ahora haces click derecho en la carpeta que deceas heredar al nuevo usuario y Propiedades.
3ero. Ahora vas a Seguridad/Opciones avanzadas/ Clieckeas donde dice "Heredar del objeto principal las entradas de permisos.......".
4to. en el mismo lugar Vas a Agregar/Avanzadas/Buscar ahora/ y seleccionas el usuario "Todos". Aceptas y sales de ahi.
5to. Ya deberias poder entrar a la carpeta....
Manejate por ahi que veras que enseguida puedes acceder a ella, cualquier duda pregunta...
 

Sarcoleto

Moderador
Miembro del equipo
Se unió
9 Jun 2005
Mensajes
4,621
M@nolito007 dijo:
LA CARPETA ESTA ENCRIPTADA :S en color verde aparece

Casi no he dormido, me toca recuperar esta informacion, no comprendo, no toy para entender
¿alguine me puede ayudar con la traduccio/comprension de este documento?

http://www.sysinternals.com/ntw2k/source/newsid.shtml
Gracias
Haga la facil, inicie con un live cd de linux (te recomiendo el live cd de (KX)ubuntu dapper, e instalaes el ntfs-3g, accedes a la caroeta y copias todos los datos a otra parte y listo!!!
 

M@nolito007

Lanero Reconocido
Se unió
7 Mar 2004
Mensajes
626
sarcoleto dijo:
Haga la facil, inicie con un live cd de linux (te recomiendo el live cd de (KX)ubuntu dapper, e instalaes el ntfs-3g, accedes a la caroeta y copias todos los datos a otra parte y listo!!!
MMM gracias por la informacion pero no sirve, la carpeta se encuentra ecriptada por windows , EFS, y no se puede desencriptar (es como si tienes unzip, puedes ver lo que contiene, pero los datos no son legibles :S )
 

Sarcoleto

Moderador
Miembro del equipo
Se unió
9 Jun 2005
Mensajes
4,621
M@nolito007 dijo:
MMM gracias por la informacion pero no sirve, la carpeta se encuentra ecriptada por windows , EFS, y no se puede desencriptar (es como si tienes unzip, puedes ver lo que contiene, pero los datos no son legibles :S )
Pues, no se a que te refieres por encriptada por windows, al leer el post inicial me imagine, que cuando le pusieron clave windows le dio la opción de establecer el elemento como privado, le dijeron que si, y por eso despues de la formateada no tenian acceso.

Si es lo que yo me imagine, pues la solución que te postee si te sirve
 

SinisteR

Lanero Reconocido
Se unió
5 Dic 2004
Mensajes
820
Ya probaste haciendo click derecho en la carpeta y en propiedades/opciones avanzadas... y en Atributo de compresión y cifrado desclickeaste las dos opciones?, quizas te falto eso, solo debe quedar clickeado "Permitir el servicio de index server..."
 

ahv80

Lanero Reconocido
Se unió
19 Sep 2006
Mensajes
41
M@nolito007 dijo:
MMM gracias por la informacion pero no sirve, la carpeta se encuentra ecriptada por windows , EFS, y no se puede desencriptar (es como si tienes unzip, puedes ver lo que contiene, pero los datos no son legibles :S )
Hola amigo

Creo que poseemos el mismo problema, tambien me pasa lo mismo, e intentado de todo pero nada funciona, hace algun tiempo lei en un foro que no habian podido vurlar esta encriptacion de Microsoft por la forma en que encripta. Todavia guardo esa carpeta por si algun dia se puede tumbar esta encriptacion.

Ojala se pueda.
 

M@nolito007

Lanero Reconocido
Se unió
7 Mar 2004
Mensajes
626
BUeno simplemente para que se informen, los que no saben del o que les estoy hablando como solucionarlo, que por lo visto son varios, y nopongan cosas que no conyevan a la solucion ....

EFS nos da un encriptación segura de la información. La encriptación es tan segura, que si perdemos la clave para desencriptar los datos, la información. estará irremediablemente perdida. Windows XP no tiene una "puerta trasera" si la clave se pierde.

Inocentemente podemos perder la clave por varios motivos:

* Por ejemplo, manipulando en la caja de dialogo de Certificados o en la consola de Certificados (certmgr.msc) podemos sin querer, borrar el certificado de encriptación.

* Podemos tener, por ejemplo, los datos almacenados en carpetas encriptadas en un segundo volumen (disco D:, por ejemplo). E imaginemos que decidimos por problemas reinstalar Windows. Formateamos C:\ e instalamos. Por desgracia, en cada instalación de Windows, aunque los nombre y claves de usuario sean las mismas, Windows crea un nuevo identificador de seguridad (SID) para cada usuario. Por tanto, las claves de encriptación y el certificado de seguridad, serán diferentes al ser nuevo el SID del usuario. En este caso, o tenemos copia de los certificados anteriores, o habremos perdido también irremediablemente la información. encriptada en nuestro segundo disco duro (D:).

Con un poco de cuidado, estos escenarios tan dramáticos pueden prevenirse. Para ello, sigamos los siguientes pasos (por primera vez):

1) Creamos una carpeta vacía, y le colocamos los atributos de encriptada.

2) Creamos o guardamos cualquier fichero de texto en dicha carpeta. Esto encriptará un archivo por primera vez.

3) Si nuestra máquina no es parte de un Dominio, creamos un agente de recuperación. Una segunda cuenta de usuario podrá ser usada con este agente para desencriptar los ficheros. Veremos más adelante como crear este agente de recuperación.

4) Guardamos el certificado de agente de recuperación. y el certificado personal de encriptación (en un disquete, por ejemplo y a salvo de terceras personas). Este último certificado no se creará hasta que hayamos realizado la primera encriptación, por ello es por lo que hemos realizado, por primera y única vez, los pasos 1) y 2).

5) Ahora ya podemos empezar a encriptar los datos sensibles.
en consecuencia :p

EFS nos proporciona una vía segura para almacenar datos sensibles. Usa una clave pública para crear una clave de encriptación aleatoriamente generada (FEK). Este proceso se realiza transparentemente para el usuario. Windows, automáticamente encripta los datos usando esta FEK cuando los datos se escriben a disco. Estos datos pueden ser sólo desencriptados con su certificado y su clave privada asociada, la cual sólo está disponible haciendo "logon" con el usuario / password que lo encriptó. Si otros usuarios intentan usar uno de estos archivos encriptados, recibirán un mensaje de "acceso denegado".

Se pueden encriptar archivos o carpetas. Se recomienda encriptar carpetas en lugar de archivos individuales, ya que cualquier archivo que guardemos en dicha carpeta se encriptará automáticamente Y esto último, incluye también archivos temporales que una aplicación pueda escribir en dichas carpetas, ya que, por ejemplo Office, escribe una copia temporal de los documentos que estemos abriendo en la carpeta en donde resida el documento. Si la carpeta está encriptada, estos temporales también lo estarán y no corremos peligro de que por una caída de la aplicación queden archivos temporales con datos sensibles sin encriptar. Por esta razón se debe considerar también el encriptar la carpeta %temp% y %tmp% del usuario.

Lo mismo que el proceso de encriptación, la desencriptación se realiza transparentemente para el usuario. Por ello, la manera de trabajar con ficheros encriptados es la misma que con ficheros no encriptados: no tenemos que hacer nada. Cuando Windows detecta que un fichero está encriptado, simplemente busca el certificado y usa la clave privada para desencriptar los datos. Es transparente, por tanto, a las aplicaciones.
el cuento es que si se puede edsencriptar, lo anterior no es tan cierto, según las "leyes de E.U", debe existir una llave publica, (todo lo que sea encriptado o contenga algún metodo de cifrado) (je je je, donde el publico unicamente es el gobierno de E.U) para utilizarla alternativamente, para la desencriptacion de los archivos y se pùeda conocer la informacio, ademas Microsoft lo hace para en dado caso tener un control de informacion "algo asi como una ""puerta trasera"" en el software" por si las moscas :S , ademas con los productos de microsoft que dejan siempre mucho por decir, existen metodos altenativos de reemplazar o generar nuevamente la dichosa SID; que es lo que se utiliza para la encriptacion...

si alguien me puede ayudar interpretando la pagina:

http://www.beginningtoseethelight.org/efsrecovery/index.php

que no comprendo muy bien como puedo hacer nuevamente para abrir los archivos cifrado :)) , de antemano gracias a quien me heche una manito, por cierto si alguien sabe como se utiliza el "passware", que contraseñas son las que necesita para desencriptar... ::D
 

lordhellriser

Lanero Reconocido
Se unió
31 Mar 2004
Mensajes
1,519
si alguien me puede ayudar interpretando la pagina:

http://www.sysinternals.com/ntw2k/source/newsid.shtml

que no comprendo muy bien como puedo hacer nuevamente para abrir los archivos cifrado ) , de antemano gracias a quien me heche una manito, por cierto si alguien sabe como se utiliza el "passware", que contraseñas son las que necesita para desencriptar... :
a mi me dice page not found

voy a hacer la prueba de encriptar un archivo en win con EFS y luego abrirlo desde linux, y les comento.
 

M@nolito007

Lanero Reconocido
Se unió
7 Mar 2004
Mensajes
626
pORFA ALGUIEN QUE ME AYUDE, ¡¡ALGUITO DE LUZ :(( )

recovery with the orginal profile not in the file system

it is _highly_ recommended to mount the disk containing the volume with the orginal install on as slave on a second machine as your recovery activities may overwrite the key data. - if you are using a laptop, get a 2.5" to 3.5" ide cable. avoid all data writes to the orginal volume.

you will need a decent hex editor (winhex recommended) and filemon from sysinternals or equivalent.

first some key pieces of information need to be optained from the encrypted files themselves. you can either jump on the ntfs to the efs header or (recommended) use ntbackup to backup one of the encrypted files you cannot access. open the backup with a hex editor and scroll down untill you see something like this.




green = the machine sid and usernumber in hex
fd374240 f094c85f 16c0ea32 eb030000 -> reverse
404237fd 5fc894f0 32eac016 000003eb -> convert to decimal
1078081533-1606980848-854245398-1003 -> prefix with s-1-5-21- for full sid/userno.

red = the public key thumbprint
79B73C0C5A501E06B9EC0A6EF4A3B8CB23BF84E9 - this is the filename of the public key

blue = the private key guid - this section maynot be present if other users have been added.
aqui voy... ¿QUE ES LO QUE DEBO SEGUIR HACIENDO?

now to search the orginal volume for the data of the two critical files - the private key and the locking file.

within the private key the guid(blue) is stored, the difference between the efs header is that it is stored in ascii, not unicode. if the private key guid was not present in the efs header you can search for "cryptoapi private key" in unicode, some results maynot be the correct ones, but this will be obvious on sight. the private key should look some thing like this. recover and name "privatekey" for now.

note well - if you do not find this private key, this method will not work and specialist methods must be used.




blue = private key guid - mentioned before
cyan = the locking file name and also mentioned within.
9f7479dc ea80 924a b41f 6392c4e3b72d -> some reversing
dc79749f-80ea-4a92-b41f-6392c4e3b72d

do a search for this string in unicode. the locking file should look something like this. recover and name as pictured in cyan in ascii.

note well again - if you do not find this locking file, this method will not work and specialist methods must be used.




cyan = the locking file name - mentioned before
yellow = a hex string required for the credhist file
dc42a7eeac5b104481336024113992ff - as is.

if you have just successfully recovered these two pieces of data, things are looking very good!! no further data needs to be recovered from the orginal install.

create a file called credhist so it looks like this:




yellow = as is, taken from the locking file - mentioned before

create a file called preferred so it looks like this:




on the second installation that you are running, encypyt a file so that you create a set of efs keys. copy out the public key from c:\documents and settings\foo\application data\microsoft\systemcertificates\my\certificates\ and rename to the public key thumbprint mentioned in the efs header - mentioned before. open in the hex editor and update the following sections.




blue = private key guid - mentioned before
red = public key thumbprint - mentioned before

follow the method "recovery with the orginal profile in the file system" detailed in the previous section and place the files into their correct locations. reboot.

c:\documents and settings\foo\application data\microsoft\

\crypto\rsa\s-1-5-21-1078081533-1606980848-854245398-1003\privatekey
\protect\credhist
\protect\s-1-5-21-1078081533-1606980848-854245398-1003\ (2files)
dc42a7eeac5b104481336024113992ff
preferred
\systemcertificates\my\certificates\79b73c0c5a501e06b9ec0a6ef4a3b8cb23bf84e9

the privatekey needs the correct name, this is determined from the private key guid by some unknown hashing process, however filemon can record the system request and thus the correct file name can be resolved. run filemon and simply select one of the encrypted files, stop filemon and apply a highlighting filter of "file not found" scroll up untill you see highlight entry by the process lsass. you should see the complete folder name request with the correct file name - something like this: bb1c31a261eed4c09b0a92ad011aae21_904f931f-4993-4059-ab65-e3961044d535 - you can ignore the second half, it is merely the machine guid querried from the registry - hklm\software\microsoft\cryptography\machineguid - you can just used the resolved hash followed by an underscore - bb1c31a261eed4c09b0a92ad011aae21_

now try accessing the encrypted file - it should all matchup. decrypt.
 

Gaston Diaz

Lanero Activo
Se unió
13 Sep 2013
Mensajes
1
Excelente la explicación...me funciono muy bien... MUCHISIMAS GRACIAS!!!

Probablemente tu confusión sea producto de que estas operando en W7...las opciones y menús son un poco diferentes...no se se me ocurre.
 

patoneitor

Lanero Novato
Se unió
13 Mar 2019
Mensajes
1
Muy buenas noches

se que el tema esta un bastante antiguo, pero quisiera saber si alguien tuvo exito con esto.
hasta el dia de hoy he consevado el disco duro donde tengo una carpeta encriptada en una particion diferente donde instalo el S.O.
espero alguien halla podido recuperar la info para poder despues de tantos años intentar de nuevo recuperarla
 
Arriba