EFS

Материал из �����������-����������� ����������

EFS (Encrypting File System) — система прозрачного шифрования данных на файловых системах NTFS.

Содержание 1 Обнаружение 2 Противодействие 2.1 Ссылки на продукты 3 См. также 4 Ссылки

Обнаружение

Файлы, зашифрованные при помощи EFS, имеют соответствующий флаг.

Вывод istat для зашифрованного файла (см. параметр Flags в атрибуте $STANDARD_INFORMATION):

MFT Entry Header Values:
Entry: 28120        Sequence: 3
$LogFile Sequence Number: 154416160
Allocated File
Links: 2

$STANDARD_INFORMATION Attribute Values:
Flags: Archive, Encrypted
Owner ID: 0
Last User Journal Update Sequence Number: 13120712
Created:	Wed May  6 17:35:12 2009
File Modified:	Wed May  6 17:38:26 2009
MFT Modified:	Wed May  6 17:38:26 2009
Accessed:	Wed May  6 17:35:12 2009

$FILE_NAME Attribute Values:
Flags: Archive, Encrypted
Name: Evil Plan.bmp
Parent MFT Entry: 15895 	Sequence: 5
Allocated Size: 0   	Actual Size: 0
Created:	Wed May  6 17:35:12 2009
File Modified:	Wed May  6 17:35:12 2009
MFT Modified:	Wed May  6 17:35:12 2009
Accessed:	Wed May  6 17:35:12 2009

$OBJECT_ID Attribute Values:
Object Id: 1324d227-0008-fea0-11de-3a63db3c3b44

Attributes: 
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-8)   Name: N/A   Resident   size: 90
Type: $FILE_NAME (48-7)   Name: N/A   Resident   size: 92
Type: $OBJECT_ID (64-9)   Name: N/A   Resident   size: 16
Type: $DATA (128-4)   Name: $Data   Non-Resident, Encrypted   size: 848294
54127 54128 54129 54130 54131 54132 54133 54134 
54135 54136 54137 54138 54139 54140 54141 54142 
54143 54144 54145 54146 54147 54148 54149 54150 
54151 54152 54153 54154 54155 54156 54157 54158 
54159 54160 54161 54162 54163 54164 54165 54166 
54167 54168 54169 54170 54171 54172 54173 54174 
54175 54176 54177 54178 54179 54180 54181 54182 
54183 54184 54185 54186 54187 54188 54189 54190 
54191 54192 54193 54194 54195 54196 54197 54198 
54199 54200 54201 54202 54203 54204 54205 54206 
54207 54208 54209 54210 54211 54212 54213 54214 
54215 54216 54217 54218 54219 54220 54221 54222 
54223 54224 54225 54226 54227 54228 54229 54230 
54231 54232 54233 54234 54235 54236 54237 54238 
54239 54240 54241 54242 54243 54244 54245 54246 
54247 54248 54249 54250 54251 54252 54253 54254 
54255 54256 54257 54258 54259 54260 54261 54262 
54263 54264 54265 54266 54267 54268 54269 54270 
54271 54272 54273 54274 54275 54276 54277 54278 
54279 54280 54281 54282 54283 54284 54285 54286 
54287 54288 54289 54290 54291 54292 54293 54294 
54295 54296 54297 54298 54299 54300 54301 54302 
54303 54304 54305 54306 54307 54308 54309 54310 
54311 54312 54313 54314 54315 54316 54317 54318 
54319 54320 54321 54322 54323 54324 54325 54326 
54327 54328 54329 54330 54331 54332 54333 54334 
Type: $LOGGED_UTILITY_STREAM (256-6)   Name: $EFS   Non-Resident   size: 672
1270752 

Противодействие

В некоторых случаях для получения доступа к файлам, зашифрованным при помощи EFS, достаточно получить возможность входа в систему под соответствующим пользователем без смены его пароля (см. Ophcrack).

Ссылки на продукты

• Advanced EFS Data Recovery
• EnCase

См. также

• BitLocker

Ссылки

• encrypted file system recovery