¿Cómo son los archivos cifrados de Windows 7?

-1

Ok, esta es una pregunta extraña:

¿Qué aspecto tienen los archivos cifrados (EFS) de Windows 7 (Home Premium) "desde afuera"?

Ahora aquí está la historia. Un conocido de un amigo mío tuvo un virus / scareware desagradable. Así que saqué mi gorra de técnico de PC y me puse a trabajar en ella. Lo que hice fue quitar la unidad de la computadora portátil y ponerla en mi compartimento externo. Escaneé el disco y sí, estaba cargado de cosas. Eso básicamente curó la infección y pude volver a iniciar el sistema.

Para verificar si solucionó el problema, quería ver el sistema mientras se ejecutaba. Allí donde dos cuentas de usuario, con una contraseña y una sin (ambos usuarios administradores!?!). Así que inicié sesión en el usuario desprotegido y limpié los problemas residuales, como el servidor proxy a localhost en la configuración del navegador. Ahora quería hacer lo mismo para el usuario protegido con contraseña.

Lo que noté fue que desde mi sistema y la cuenta de usuario desprotegida, los archivos del usuario protegido parecían ilegibles. Los archivos son algo así como 12 caracteres alfanuméricos aleatorios, pero las carpetas se veían bien. Ingenuo como se pensaba, esto podría ser cómo se veían los archivos cifrados "desde afuera". (Nunca uso las características de seguridad propias de Microsoft, entonces, ¿cómo podría saberlo? TrueCrypt es un gran blob).

Como no se pudo contactar al segundo usuario, lo pensé y eliminé la contraseña de la cuenta. (Eso podría haber sido un error, lo sé). Ahora hice las mismas tareas de limpieza y todo estuvo bien; a excepción de los archivos que todavía estaban "encriptados".

Así que busqué en muchas publicaciones de recuperación de archivos cifrados de Windows y no se perdió toda esperanza, ya que debería poder extraer el certificado y con la contraseña recuperar el acceso a los archivos. También tenga en cuenta que Windows "solo" me indicó que eliminar la contraseña sería inseguro, no que se perdería el acceso a los archivos cifrados, como se afirma en la mayoría de los artículos de recuperación. Restablecer la contraseña no ayudó y me di por vencido por la noche.

La pregunta que me fastidió la mitad de la noche anterior fue, ¿qué pasa si los archivos no están encriptados, pero el miedo cifró / destruyó los archivos? No quiero pasar horas de trabajo tratando de recuperar archivos que no son recuperables. El problema es que el usuario no recuerda haberlo encendido y ¿los archivos no están marcados en azul y el nombre del archivo es legible?

Muchas gracias por los comentarios de los usuarios que tienen más conocimiento sobre Windows EFS ...

windows-7 encryption virus-removal Sean Farrell
fuente
1
No hay una versión "Home pro" de Windows 7. Puede tener "Windows 7 Home Premium" o "Windows 7 Professional". ¿Cuál tienes?
Robert
Home Premium, editaré esto en el texto.
Sean Farrell
AFAIK Home Premium solo admite EFS a través de la herramienta de línea de comandos y no Bitlocker. ¿Estás seguro de que estás utilizando el cifrado integrado de Windows?
Robert
Mientras escribía, cada vez pienso más que el virus eliminó los archivos. ESA es la razón por la que pregunto cómo se "ven" los archivos cifrados cuando los visualizo sin credenciales.
Sean Farrell
Los archivos cifrados no tienen un formato específico: se ven como datos aleatorios. Y si tiene credenciales o no, no importa, ya que los archivos cifrados no se descifran automáticamente. Si tiene un troyano, debe eliminar el HDD, reinstalar el sistema y restaurar sus archivos desde la copia de seguridad.
Robert

Respuestas:

2

Ok, tomó algo de investigación y algunas pruebas. Pero encontré la respuesta a mi pregunta:

Files that are encrypted with Windows EFS are green and the filename 
is unaltered. This is true when authenticated or not.

Lástima por el usuario que perdió sus archivos, no copia de seguridad allí.

Sean Farrell
fuente
1

Los archivos cifrados parecen datos aleatorios con alta entropía. Si parecieran algo, sabría que están encriptados, con qué algoritmo e incluso qué datos fueron encriptados, lo que anulará el propósito mismo de la encriptación.

m0skit0
fuente
Sé sobre datos, pero en el caso especial de Windows EFS, el sistema de archivos sabe qué archivos están encriptados. Son verdes y definitivamente no están confusos.
Sean Farrell
El hecho de que el archivo esté encriptado se almacena en los metadatos del sistema de archivos, específicamente, el "registro de archivo" (junto con el nombre del archivo, etc.).
Jamie Hanrahan
@SeanFarrell Eso es metadato, lo que significa que sabes que está encriptado desde adentro, no desde afuera.
m0skit0
1

Esta es una pregunta antigua pero creo que vale la pena agregarla:

Sí, en Explorer, se ven verdes (suponiendo que haya habilitado "mostrar archivos cifrados y comprimidos en colores alternativos") y los nombres de los archivos no están confusos. (Por lo tanto, tenga en cuenta que los nombres de los archivos pueden filtrar información).

Si intenta abrir uno sin acceso al certificado EFS que protege la clave de sesión (básicamente, si no ha iniciado sesión como el usuario que cifró el archivo), no verá el contenido cifrado. Su intento de apertura simplemente fallará, como si se le hubiera denegado el acceso al archivo a través de su ACL. (Esto es bastante fácil de probar si puede crear una segunda cuenta en su máquina).

Si tiene acceso al certificado EFS, el archivo simplemente actúa como un archivo normal. No realiza un paso de "descifrado" separado para usar el archivo.

Jamie Hanrahan
fuente