Mendapatkan Kunci Pribadi EFS dari gambar sistem

Saya harus menginstal ulang Windows 7 baru-baru ini dan saya kehilangan kunci pribadi yang diekspor untuk EFS. Namun saya memiliki keseluruhan direktori pengguna saya dan saya menemukan bahwa kuncinya harus ada di sana DI MANA SAJA. Satu-satunya pertanyaan adalah bagaimana cara mengeluarkannya.

Saya memang menemukan kunci PUBLIK di AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Certificates Jika saya mengimpornya menggunakan certmg.msc, katanya saya memiliki kunci pribadi dalam informasi tersebut, tetapi jika saya coba ekspor, katanya saya tidak punya kunci pribadi. Juga, dekripsi file tidak berfungsi.

Ada juga folder "kunci" di AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Keys. Setelah mengimpor sertifikat saya menyalinnya ke instalasi baru saya tetapi tidak berpengaruh.

Saya mulai percaya mereka berada di AppData \ Roaming \ Microsoft \ Protect \ S-1-5-21 -... \ atau AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21- .. . \ tetapi saya tidak yakin bagaimana cara menggunakan file di folder itu. Juga, karena SID saya telah berubah, apakah saya dapat menggunakannya? Bagian lain dari akun tetap sama (nama dan kata sandi). Saya juga memiliki akses lengkap ke kumpulan registri pengguna dan sebagian besar file sistem lama (termasuk kumpulan registri sistem lama).

Saya memang terus melihat referensi ke "Agen Pemulihan Kunci" tetapi belum menemukan apa pun tentang penggunaan, hanya saja itu dapat digunakan.

Terima kasih!

Saya telah mengetahui bahwa kata sandi pengguna, SID pengguna + mesin, dan garam digunakan untuk mengenkripsi Kata Sandi Utama (disimpan di AppData \ Roaming \ Microsoft \ Protect) yang pada gilirannya digunakan untuk mengenkripsi semua kunci pribadi dengan garam lain (di AppData \ Roaming \ Microsoft \ Crypto \ RSA). Ada beberapa panduan di luar sana tentang format dasar file dalam folder ini dan bagaimana mereka dienkripsi. Namun ada bagian yang hilang sehingga solusi lengkap akan bermain-main.

Solusi gratis adalah membuat mesin dengan mesin SID yang sama (perlu menggunakan XP dan program newsid - newsid tidak berfungsi pada Vista dan yang lebih baru) dan kemudian pengguna dengan SID yang sama, salin file-nya (keseluruhan file). Folder Crypto, Protect, dan Sertifikat Sistem), dan ekspor dari sana. Saya melakukan ini dengan mesin virtual.

Ini menganggap Anda memiliki akses ke semua file asli. Program Pemulihan Data EFS Lanjutan Elcomsoft yang disebutkan oleh Brian juga dapat mencari informasi berdasarkan sektor demi sektor. Itu juga tidak perlu membuat instalasi baru atau membuat kembali SID. Jadi untuk sebagian besar kasus yang satu akan JAUH lebih mudah, namun bagi orang yang ingin melakukannya secara gratis, lihat di atas.

Sertifikat / kunci, dll. Yang tersimpan di profil lama dilindungi / dienkripsi oleh kata sandi pengguna yang diacak dengan beberapa informasi lainnya. Jadi, Anda perlu menemukan keduanya dan mencari cara untuk mendekripsi mereka.

Elcomsoft menawarkan program untuk melakukan pencarian dan dekripsi. Elcomsoft - Pemulihan Data EFS Tingkat Lanjut (di dekat bagian bawah halaman) tetapi dengan pekerjaan Anda dapat melakukan hal yang sama dengan menggunakan panduan online.