Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

EFS Verschlüsselung aufheben bei gelöschtem aber bekanntem passwort

Frage Microsoft

Mitglied: manilo101

manilo101 (Level 1) - Jetzt verbinden

17.01.2011 um 20:17 Uhr, 12179 Aufrufe, 5 Kommentare

Unwissenheit schützt nicht vor Problemen.

Mein Sohn hatte ein paar Probleme mit seinem XP Media Center. Die konnte ich soweit beheben. Leider brauchte ich dazu Zugang zu seinem Account. Da ich ihn nicht telefonisch erreicht habe, habe ich meinen administrativen Zugang kurzerhand dazu verwendet, sein Passwort zurück zu setzen. Was ich nicht wusste ist, dass er paar Dateien via EFS verschlüsselt hatte. Ich habe auch nicht nachgesehen weil ich der Meinung war, EFS gibt es nur im Prof. Nun habe ich sein PW wieder auf das alte gesetzt als er da war. Logischerweise gibt es aber keinen Zugriff auf die Dateien. Das Zertifikat ist auch nicht gesichert.
Habe ich irgend eine Möglichkeit, die Daten zu entschlüsseln? Wie gesagt, das eigentliche PW ist ja noch vorhanden. Es handelt sich um eine Abschlussarbeit und er hat sieauch nicht gesichert.

Ich weiß, viele Fehler.
Gibt es eine Freeware die einen BruteForce Attacke ermöglicht? Da das Passwort ja bekannt ist, sollte das dann doch rel. schnell möglich sein?

Kann jemand helfen?

Wäre dankbar.

MfG
Manilo
Mitglied: Biber
17.01.2011 um 21:15 Uhr
Moin manilo101,

bevor hier wieder (berechtigte) Kommentare zum Thema "Fragen nach Aushebeln/Knacken/Entschlüsseln/Umgehen von whatever" kommen.

EFS-Verschlüsselung ist REALISTISCH nur mit drei Grundvoraussetzungen zu entschlüsseln:

  • Username und Password muss bekannt sein (und darf nicht am User vorbei "resettet" worden sein)
  • die Schlüssel müssen im Zugriff sein
  • ein professionelles (=kostenpflichtiges) Werkzeug mit dem darin enthaltenen Knowhow muss mit diesen drei Basiselementen wissen, was zu tun ist.

Das "preisgünstigste" Profitool mit halbwegs Erfolgsaussichten ist m.W. in oder um Fa. Elcomsoft und bei oder um ca. 100 Euronen angesiedelt (für XP-Rechner).

Irgendwelchen Kiddieversprechungen mit "boah, mit Brut-Forz geht das abba" oder Computerbild-CDs brauchst du nicht herjagen
- mit Bordmitteln und ein paar Zeilen Turbo-Pascal ist es nicht machbar.

Nochmal ganz in Hochdeutsch: Brute-Force-Attacke sinnlos. Punkt.

Ich lasse den Beitrag -unverpapierkorbt- hier stehen, falls jemand dich über PN auf eine Alternative lenken will.

Kasperkommentare wie "das entschlüssel ich dir mit meinen Superdark-Schulhof-Turbogangstatoolz 3.0 in zwei Minuten" bratz ich weg.
Links auf estländische Fileserver auch.

Viel Glück
Biber
Bitte warten ..
Mitglied: askando
18.01.2011 um 08:44 Uhr
EFS lässt sich meines Wissens nicht durch Bruteforce knacken.

also ich habe diesen Artikel im Internet gefunden. Auch wenn ich verstehe wie er das gemacht hat würde ich selbst wenn es eigene Daten wären mir den Stress nicht antun. Ganz nach dem Motto solange deine Daten unter meinem Gehäuse liegen bin ich der einzige der hier verschlüsselt

Zitat:
Ziemlich komplizierte Sache.Hab alles mögliche versucht.Naja letzendlich hab ich es mit dem wiederherstellungsagnten mit zuhilfenahme eines anderen zertikates das ich auf einigen umwegen über die regedit und nem hexeditor dazu überreden konnte, das es sicher ist, und das ich dieses ebenso zum entschlüsseln von anderen Daten nehmen kann. Viel nachgelesen in der Hilfe im Internet usw.! Hat aber letzendlich doch zum erhofften erfolg geführt.Es ist und bleibt halt eben doch nur Windows.Alles ist knackbar man muss nur wissen wie und womit. So mehr erzähl ich jetzt nicht mehr, sonst kann ich hier gleich nen Hackerguide draus machen!

Selbst ausprobieren.
Bitte warten ..
Mitglied: manilo101
18.01.2011 um 10:24 Uhr
Ja Danke euch erst mal. Den von askando beschriebenen Beitrag habe ich schon gefunden. Der das geschrieben hat haut m.M gewaltig auf den Putz weil er nur Andeutungen macht aber nix erklärt. Kann er aber wohl auch nicht.
Mir ist eigentlich klar, dass ich da wohl Leergeld bezahle für meine Unwissenheit. Aber ich möchte nix unversucht lassen.
Ich hab jetzt mal testweise die Elcomm Advanced EFS Data Recovery als Trial runter geladen. Die sagt mir leider, dass die gefundene Datei nicht entschlüsselt werden kann. Das scheint also nur zu gehen, wenn das PW zwar resettet, also leer gemacht wurde, aber nicht, wenn es danach wieder gesetzt wurde. Ich muss mich aber erst noch genauer in die Softwarearbeitsweise einlesen. Lt. Beschreibung müsste mir die Software ja weiter helfen können. Wenn der Test erfolgreich ist gebe ich auch das Geld aus. Allerdings gibt es da noch Probleme. Auf dem Rechner selbst führt das Programm beim Ausführen sofort zu einem Absturz. Wenn ich die Festplatte in einen anderen PC einbaue und das Tool ausführe findet es zwar die Dateien, sagt aber, dass sie nicht entschlüsselt werden können. Ich vermute das liegt daran, dass, wie Biber schreibt, die Schlüssel ja da nicht im Zugriff sind

Beim lesen, wie ich das Problem löse, bin ich an BruteForce vorbei geschrammt. Es wurd aber geschrieben, dass es ewig lang dauert. Ich dachte mir nur, dass da, weil ja das Original-PW bekannt ist, was zu machen wäre.

Eine weitere Idee hätte ich noch. Das PW ist ja bekannt. Wurde halt nur gelöscht und wieder neu (gleiches PW) vergeben. Das PW ist doch in der SAM gespeichert. Habe ich eine Chance, eine frühere SAM zu importieren? Da müsste dann doch das alte PW wieder wirksam sein?

Wenn Infos dazu nicht Forentauglich sind dann gern auch per PM.

Danke für eure Hilfe.
Bitte warten ..
Mitglied: askando
18.01.2011 um 10:46 Uhr
windows legt automatisch backups von den Registry Keys an moment ich suche dir eben den Pfad. ich meine wenn du den zeitpunkt vor der passwort löschung herstellen kannst von der Sam könntest du es damit schaffen

mmh versuche erstmal den Standardweg über Systemwiederherstellung vielleicht hat dein System ja automatisch gute Punkte gesetzt http://support.microsoft.com/kb/322756

das sollte genau das selbe sein nur ich habs halt früher per hand machen müssen. Per Gui ist es definitiv einfacher good luck
Bitte warten ..
Mitglied: manilo101
19.01.2011 um 09:32 Uhr
So, Zugriff wieder möglich. Gott sei dank. Leider kann ich nicht genau sagen, was nun eigentlich den Erfolg gebracht hat. Ganz klar ist mir das alles nicht.
Das PW war ja wieder gesetzt. Damit hab ich keinen Überblick ob nach der Wiederherstellung das originale PW wieder aktiv war. Direkt nach der Wiederherstellung war auch kein Zugriff möglich. Ich habe dann im certmgr nachgesehen und festgestellt, dass unter "Eigene Zertifikate" liegende Zert mit Gültigkeit ab Zeitpunkt der neuen PW Eingabe nach der Löschung terminiert war. Das konnte ja eigentlich nicht sein weil die Datein ja eher verschlüsselt wurde. Ich habe dan im certmgr unter "Vertrauenswürdige Personen" eine Kopie des Zertifikates gefunden. Dort lautete das Gültigkeitsdatum noch von früher her. Ich habe dann dieses exportiert. Dann das falsche eigene Zert gelöscht und dort dann das exportierte importiert. Dann ging der Zugriff wieder.

Ich glaube ich habe viel Glück gehabt.

Danke euch für eure Hilfe
MfG
Manilo
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
CryptoWall 3.0 verschlüsselung aufheben
Frage von norre2000Viren und Trojaner3 Kommentare

Hallo, eine einem PC hat der CryptoWall 3.0 Virus zugeschlagen und Dokumente und Bilder verschlüsselt. Den Virus habe ich ...

Windows 7
Meldung Kopiervorgang und Verschlüsselung aufheben bleibt aus
gelöst Frage von xbast1xWindows 76 Kommentare

Hallo, bei einem Mitarbeiter ist seit gestern das Phänomen, dass wenn er Datein kopiert, keine Anzeige mehr über die ...

Windows 7
EFS Verschlüsselung aktiv - Deaktivieren nicht möglich
gelöst Frage von atomiqueWindows 76 Kommentare

Guten Abend zusammen, ich hoffe bei euch Hilfe zu finden. Ich bin etwas ratlos was die Problematik angeht. Screenshots ...

Windows Tools
Win 7 EFS Verschlüsselung mit mehreren Smartcards
Frage von Acer90Windows Tools

Hallo Administrator Community, Ich habe folgende frage, und zwar hab ich auch schon gegoogelt, aber noch nichts brauchbares gefunden. ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 3 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 6 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 6 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 10 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...