# مهندسی نرم افزار > مباحث مرتبط با مهندسی نرم‌افزار > امنیت در نرم افزار و برنامه نویسی >  Recovery فایل های رمز شده با EFS ویندوز

## saman_itc

با سلام کسی در مورده بازیابی فایل های سبز رنگ پس از تعویض ویندوز خبر داره

----------


## whitehat

می توانید از Advance EFS Recovery استفاده کنید ، البته باید با یوزر و پسوردی که باهاش کد شده ، این کار انجام بشه در غیر اینصورت به این راحتی برنمی گرده!

----------


## saman_itc

> می توانید از Advance EFS Recovery استفاده کنید ، البته باید با یوزر و پسوردی که باهاش کد شده ، این کار انجام بشه در غیر اینصورت به این راحتی برنمی گرده!


با Cipher  میشه همین کارو کرد با خود دستور تحت داسش و  Advance EFS Recovery  فقط اینترفیسش 
یوزر نیم پسورش فایده نداره recavere   cod  کدش مهمه که با ید توهمون win که رمز دارش کردی با دستور cipher بگیرش
مشکل ما نداشتن کد!!!!!!!!!!!!!
با چه روش یا نرم افزاری میشه فایل هارو از این قالب در اورد!!!
*



رمزگذاری Encrypt : روش پنهان سازی که از این به بعد « رمزگذاری» نامیده میشود ، روش مطمئنی است که کمتر به آن پرداخته می شود.

نکته : قابلیت رمز گذاری فقط روی درایوهایی که به سیستم NTFS فرمت شده اند فعال خواهد بود. ( برای اینکه بدانید سیستم فایل یک درایو از نوع FAT32 است یا NTFS ، درایو را انتخاب کنید و جزئیات آن را از ستون سمت چپ پنجره ببینید. و یا درایو را کلیک راست کرده و با زدن گزینه Properties به در جلو عبارت File system نوع سیستم فایل درایو را ببینید. )


نکته : اگر سیستم فایل درایو از نوع FAT32 است ، میتوان آن را به NTFS تبدیل کرد. برای این کار به منوی Start و سپس RUN رفته و دستور cmd تایپ کرده و OK بزنید تا خط فرمان ظاهر شود. از فرمان Convert مانند زیر جهت تبدیل استفاده کنید ( به جای حرف x نام درایو مورد نظر را بنویسید)


convertx:/fs:ntfs

ممکن است کامپیوتر ریستارت شود و قبل از بالا آمدن ویندوز فرایند تبدیل صورت گیرد.


نکته : عمل تبدیل از FAT32 به NTFS باعث از بین رفتن اطلاعات نمی شود. عمل « تبدیل NTFS» با« فرمت NTFS» متفاوت است. عمل Format باعث پاک شدن درایو می شود.





تذکر : سیستم فایل NTFS در ویندوزهای قدیمی مانند ویندزو 98 و ME پشتیبانی نمیشود و درایوهایی که فرمت NTFS داشته باشند در این ویندوزها قابل شناسایی نیست. 


* برای رمز گذاری یک فایل یا فولدر ، روی آن کلیک راست کرده ، سپس Properties بزنید. در پنجره ای که باز میشود دکمه Advanced را زده تا پنجره دیگری ظاهر شود. ( شکل زیر ) گزینه Encript contents to secure dataرا علامت زده تا آن فایل یا فولدر رمزگذاری شود. اگر روی پوشه این عمل انجام میشود ، پیامی ظاهر شده و می پرسد که آیا فقط روی همین پوشه انجام شود یا روی تمام فایلهای درون آن هم رمزگذاری انجام شود ؟ 


بعد از OK کردن پنجره ها ، رنگ نام آن فایل سبز رنگ میشود ، به این معنی که فایل مورد نظر رمزگذاری شده است. 







نکته : اگر پوشه حاوی مقدار زیادی فایل باشد ، ممکن است فرایند رمزگذاری وقتگیر باشد.
نکته : فایلهایی که « سیستمی » باشند ، رمزگذاری نمیشود.

فایلهای رمزگذاری شده فقط توسط کاربر (User) که روی آن تعریف شده باز خواهد شد. یعنی با تعریف User های متفاوت و پسورد گذاری روی User خود ، کاربران دیگر را مجبور کنید از User های دیگر استفاده کنند.


{ طریقه تعریف کاربر (User Account) : از منوی Start ، Control Panel را باز کرده و User Accounts را اجرا کنید. لیست تمام کاربران ویندوز را خواهید دید. برای ساخت یک « حساب کاربری » جدید ، گزینه Create a new account را زده و مراحل را دنبال کنید. }


تذکر : حتی با نصب یک ویندوز دیگر و ورود توسط آن ، قادر به دستیابی به فایلهای رمزگذاری شده نخواهید بود. بنابراین هنگام پاک کردن ویندوز به این نکته توجه شود.
نکته : فرمانی به نام Cipher وجود دارد که از طریق خط فرمان DOS وارد میشود. از طریق این فرمان نیز رمزگذاری امکان پذیر است. همچنین در ویندوز امکاناتی وجود دارد (که باید فعال شود) تا در صورت حذف ویندوز هم بتوان فایلهای رمزگذاری شده را بازیابی کرد 


*

----------


## whitehat

بله با Cipher هم میشه اما شما هر دفعه باید فرمان را از اول تایپ کنید، من نرم افزار های زیادی را تست کردم ، اما به دلیل ماهیت کد های EFS حتی را روش Brute Force هم نمیشه براحتی کد را بدست آورد. شما اگه ویندوزتان را عوض کرده باشید به نظر من این کار غیر ممکنه! اما در حالتی که یوزر پاک نشده اما فایل های غیر قابل دسترسی شده اند ،تنها نرم افزاری که عمل کرد همان چیزی است که عرض کردم

----------


## saman_itc

> بله با Cipher هم میشه


Cipher مال همین کاره




> هر دفعه باید فرمان را از اول تایپ کنید،


گفتم ایترفیس نداره تحت dos





> شما اگه ویندوزتان را عوض کرده باشید به نظر من این کار غیر ممکنه!


هر کاری یه راهی داره



> یوزر پاک نشده


اگه پاک نشده باشه مشکلی نیست اما اینجا پاک شده
با تغییر NTFS به 32 شاید یه کارایی بشه نظر شما چیه؟

----------


## مهران موسوی

> با تغییر NTFS به 32 شاید یه کارایی بشه نظر شما چیه؟


فكر كنم يه جا خونده بودم اگه اين عمل انجام بشه به صورت اتوماتيك فايلها از حالت كد شده در ميان ... !!! ( ولي از صحت حرف اطمينان ندارم )

----------


## vcldeveloper

> فكر كنم يه جا خونده بودم اگه اين عمل انجام بشه به صورت اتوماتيك فايلها از حالت كد شده در ميان ... !!! ( ولي از صحت حرف اطمينان ندارم )


خیر. همچین اتفاقی نمیافته. محتوای فایل Encrypt شده. اگر هم به FAT32 منتقل بشه، داده های Encrypt شده منتقل میشند و عملا قابل استفاده نخواهند بود.


برای اطلاعات بیشتر درباره EFS:
http://en.wikipedia.org/wiki/Encrypting_File_System
http://book.itzero.com/read/microsof...2lev1sec8.html
http://www.velocityreviews.com/forum...58&postcount=6

قابل توجه دوستانی که تصور می کنند Visual Studio ممکن هست کمکی در زمینه Recover کردن فایل های کدشده بهشون بکنه:
Because the encryption & decryption operations are performed at a layer below
NTFS, it is transparent to the user *and all their applications*.

----------


## saman_itc

> فكر كنم يه جا خونده بودم اگه اين عمل انجام بشه به صورت اتوماتيك فايلها از حالت كد شده در ميان ... !!! ( ولي از صحت حرف اطمينان ندارم )


دقیقا حرفتون درسته
بعضی از دوستان هنوز نمی دونن تو fat32 رمزکزار معنی نداره و فقط تو NTFS وجود داره
مهران جان باید برنامشو پیدا کنیم

----------


## raravaice

> باید برنامشو پیدا کنیم


برنامه نداره ، شما اگر میتونی به 4KB اولیه تو Cluster اول فایل توی پارتیشن NTFS دسترسی خواندن و نوشتن پیدا کنی یه بسمه ا... بگو و شروع کن و اگر چنین کاری رو تونستی انجام بدی مطمئنا کارهای خارق العاده زیادی میتونی روی فایلها انجام بدی که بیانش از حوصله این تاپیک خارج هست.

البته این کار 100% شدنی هست ولی انیشتین میگه :"مسائل خاصی که ما با آنها روبرو می شویم در همان سطح از تفکری که آنها را برایمان به وجود آورده است،قابل حل نخواهد بود"

موفق باشید

----------


## vcldeveloper

> دقیقا حرفتون درسته
> بعضی از دوستان هنوز نمی دونن تو fat32 رمزکزار معنی نداره و فقط تو NTFS وجود داره
> مهران جان باید برنامشو پیدا کنیم


هر وقت تونستید با تبدیل پارتیشن NTFS به FAT 32 داده های Encrypt شده آن را از حالت رمز خارج کنید، همینجا اعلام کنید تا دستاورد شما را به عنوان یکی از دستاوردهای مهم در زمینه تکنولوژی به عنوان یک تاپیک اعلان به سایر دوستان معرفی کنیم!
حداقل قبل از اظهار نظرهای بچگانه یک نگاهی به اون لینک هایی که دادم می انداختید. خدا رو شکر به اندازه کافی درش عکس و تصویر وجود داشت که بدون دونستن انگلیسی هم می تونستید بفهمید قضیه از چه قراره!

----------


## farshadvl

با عرض سلام . من هم یک پوشه کامل از عکس های خانوادگیمو را encrypt کردم ولی ویندوزم ریخت بهم و ویندوزو عوض کردم حالا دیگه هرکاری میکنم نمیتونم decrypt کنم حالا باید چکار کنم؟
یا باید قید عکسها رو بزنم یا قید خودمو :گریه:

----------


## farshadvl

دوست عزیز یعنی من میتونم عکس هام که encrypt شده را بر گردونم

----------


## vcldeveloper

> دوست عزیز یعنی من میتونم عکس هام که encrypt شده را بر گردونم


احتمالش در حد صفر هست. اگر ویندوزتان را عوض نکرده بودید، شاید میشد فایل هایی که کلیدهای مربوطه را در خود نگهداری می کنند را بازیافت کرد و از طریق بعضی برنامه ها با دانستن رمز عبور حساب ویندوز خود آن را باز کرد و  از طریق آن فایل های رمز شده را باز کرد.

روال کار به این صورت هست که داده های موجود در فایل شما با FEK رمزگزاری میشند. سپس کلید مربوطه توسط Public Key شما رمزنگاری میشه و به فایل شما ضمیمه میشه (مستقیما به داده های فایل اضافه نمیشه، بلکه NTFS میتونه در کنار هر فایل داده های اضافی مربوط به اون فایل را نگهداری کنه). وقتی می خواید فایل را رمزگشایی کنید، ابتدا کلید رمز شده از فایل استخراج میشه، بعد این کلید با Private Key شما رمزگشایی میشه تا به FEK اولیه برسه، بعد داده های فایل شما با استفاده از FEK رمزگشایی میشند. تمام این عملیات توسط NTFS انجام میشه و برنامه های شما اصلا از انجام آنها مطلع نمیشند.
Private Key شما در ویندوز توسط رمز عبور شما محافظت میشه. یکی از راههای دور زدن EFS این هست که به نوعی به فایل حاوی Private Key کاربر دسترسی پیدا کنید، آن را رمزگشایی کنید و Private Key را از آن استخراج کنید و با استفاده از آن Header رمز شده فایل را رمزگشایی کنید و به FEK برسید، سپس با FEK داده های فایل را رمزگشایی کنید. پس می بینید که دور زدن EFS اصلا کار آسانی نیست. در واقع این روش هم خود  EFS را دور نمیزنه، بلکه سعی میکنه از ضعف های شناخته شده ویندوز استفاده کنه.
در هر حال، با پاک کردن ویندوز قبلی و نصب ویندوز جدید احتمال موفقیت این کار هم به میزان بسیار زیادی کاهش پیدا میکنه!

*حالا اگر پارتیشن مربوطه را از NTFS بهFAT32 تبدیل کنید چه اتفاقی میافته؟*
وقتی NTFS را به FAT32 تبدیل می کنید، داده های اضاقی که NTFS برای هر فایل نگهداری می کرد (Alternative Data Steam یا ADT) حذف میشند. در نتیجه کلید FEK شما که بصورت رمز شده در ADT فایل شما ذخیره شده بود هم حذف میشه. با حذف این کلید، عملا امکان رمزگشایی فایل شما هم از بین میره، چون تا جایی که من شنیدم، Windows XP از کلیدهای 256بیتی برای رمزنگاری استفاده میکنه، پس Brute Force کردن اون به زمان بســــــــیـــــار زیادی نیاز داره، یعنی بهتره بگیم عملا امکان پذیر نیست.

----------


## farshadvl

پس با این تفاصیل با نرم افزار Total Commander یا ElcomSoftStudio هم نمیشه کاری کرد درسته؟

----------


## vcldeveloper

> پس با این تفاصیل با نرم افزار Total Commander یا ElcomSoftStudio هم نمیشه کاری کرد درسته؟


Total Commander رو ندیدم که گزینه ایی برای هچین کاری داشته باشه، Advanced EFS Data Recovery از ELCOMSOFT به ظاهر چیز خوبی میاد، ولی احتمالا برای شما که ویندوز قبلی را پاک کردید و یک ویندوز جدید نصب کردید، چندان کارایی نداشته باشه. ظاهرا این برنامه بیشترین اتکاش به این هست که فایل های حاوی Private Key کاربر را پیدا کنه و از طریق دور زدن سطوح امنیتی ویندوز این فایل ها را باز کنه و از طریق Private Key بدست آمده، FEK رمز شده با Public Key را رمزگشایی کنه و به FEK برسه. در اون صورت میتونه فایل رمز شده را رمزگشایی کنه. پس برای اینکه این نرم افزار بتونه خوب عمل کنه، باید بتونه فایل حاوی Private Key شما را پیدا کنه.

----------


## مهران موسوی

چيزايي رو در اين رابطه اقاي كشاورز گفتن قبول دارم ... با اين اوصاف برگردوندن فايلها غير ممكن خواهد بود ... اگر ويندوز رو عوض نميكردين ميشد ولي حالا ديگه بايد دورش رو خط بكشيد ...  اين گفته از نظر علمي كاملا منطقي هست .. وقتي هيچ رمزي هيچ جايي وجود نداره چه جوري ميخوايين بدستش بيارين تا بتونين فايل رو برگردونيد ؟؟؟ ولي يك راه دارين .. !! استفاده از Brute Force كه من خودم تضمين ميكنم اگه از همين الان شروع كنيد با توجه به 256 بيتي بودن رمز تا 256 سال ديگه ميتونيد فايل رو از حالت كد شده در بيارين ...  :خجالت:  اين يك حقيقت غير قابل انكار هست كه امروز با يكمي مطالعه و گردش توي وب ازش اطمينان پيدا كردم ..

يا حق ....

----------


## vcldeveloper

> با اين اوصاف برگردوندن فايلها غير ممكن خواهد بود


غیر ممکن نیست، با توجه به شرایط ایشون امکانش بسیار کم هست. مثلا Advanced EFS Recovery در نسخه Professional خودش امکان اسکن سکتور به سکتور و اسکن فایل های حذف شده را هم دارد، پس ممکن هست که بتونه فایل های حاوی Private Key کاربر در ویندوز قبلی را از روی هارد پیدا کنه و بتونه آنها را بشکنه و به Private Key برسه، ولی احتمالش خیلی کم هست.

----------


## P.Doosti

خوب پس امکانش تا الان گویا نیست !!!

حالا اینکه آیا میشه یک جوری شرایط رو بر گردوند ؟!؟
البته اینم می دونم که احتمال زیاد این کلید ها رندوم هست حتی اگه یوزر و پس یکی باشه با ویندوز قبلی و نمیشه اگه یوزر و پس را همون قبلی بزاریم بشه کلید ها رو در بیاریم .

من با هموم professional نرم افزارم کار کردم اما فقط میگه که چی رمز شده ولی کاری نمی کنه !
با روش هایی مثل فرمت کردن یا بازیابی اطلاعات (Recover Data ) یا روش های دیگه نمیشه ؟!؟

در آخر اگه کسی با  Advance EFS Recovery کار کرده یک توضیح در مورد شرایط عمکلرد و نوع فعالیتش و کلا" اینکه حالا این نرم افزار چه موقه کارآمد هست !؟!

----------


## ali2100

تنها راهی که بنظرم میرسه که نمی دونم نتیجه بده یا نه

اینه که درایو ویندوزم را ریکاوری کنم. حالا اگر اطلاع دارید که من دنبال چه فایلی باید بگرد لطفا راهنمایی کنید تا بگم که اینجوری میشه نتیجه گرفت یا نه.

فکر نکنم که فایل های .PFX  ویا  .CER باشند.چون در ویندوز جدید یک فایلی را اینکریپت کردم و سرچ کردم ، همچین فایلی پیدا نکرد.

----------


## hosseing

سلام دوستان 
منم دقیقا مشکل farshadvl رو دارم
 Advanced EFS Recovery  آموزش نداره !
این حالتی که به من نشون میده  چه کاری میشه باهاشون کرد؟

----------


## car20

سلام

از اونجایی که آخرین پست این تاپیک مال پارسال است خواستم بپرسم آیا راهی برای حل این مشکل پیدا شد یا نه ؟ متاسفانه من درایو ویندوزم رو فرمت کردم و حالا دیگه نمی تونم عکس های پوشه رمز دار شده را باز کنم ! 
دوستان کسی راه حل جدیدی به فکرش نمی رسه؟

----------


## saman_itc

na nemishe

----------


## Mr.World.Wide

سلام
ببخشید این تاپیک رو از آرشیو کشیدم بیرون
سوال هایی داشتم درباره این اینکریپشن
الان اگر من اینکریپشن رو فعال کنم توی پست ها خوندم اگر ویندوز عوض کنم دسترسی از بین میره
یعنی پسوردی چیزی نداره؟؟؟
که حفظ باشم تا بعد ها بتونم بهش دسترسی داشته باشم؟؟؟
عجب
بعد آیا راهی هم برای دور زدن براش هست؟؟
اگر اینجوری که دوستان میگند راهی برای دسترسی بهش نباشه پس چرا روش مانور داده نمیشه؟
و کاربران از نرم افزار های دیگه برای قفل گذاری روی اطلاعات شخصی شون استفاده میکنند؟؟
من آیا میتونم با خیال راحت بدون ترس از اینکه کسی به این فایل هام دسترسی داشته باشه از این قابلیت استفاده کنم؟؟

----------


## vcldeveloper

> الان اگر من اینکریپشن رو فعال کنم توی پست ها خوندم اگر ویندوز عوض کنم دسترسی از بین میره
> یعنی پسوردی چیزی نداره؟؟؟


باید از کلید رمزنگاری مربوطه Backup بگیرید و در یک جای امن، مثلا روی یک سی دی که در جای امنی نگهداری میشه، ذخیره کنید. در هنگام فعال کردن گزینه رمزنگاری هشدارها و راهنمایی های لازم از طرف ویندوز به شما داده میشه.




> من آیا میتونم با خیال راحت بدون ترس از اینکه کسی به این فایل هام دسترسی داشته باشه از این قابلیت استفاده کنم؟؟


در صورتی که امکان دسترسی به فایل حاوی کلید رمز باشه، از طریق Brute Force رمز ویندوز کاربر امکان پذیر هست، ولی زمان بره و توان پردازشی مناسبی میخواد. در غیر از این صورت، راه حل تجاری خاصی منتشر نشده، مگه اینکه کسی آسیب پذیری امنیتی ناشناخته ای (Zero Day) از مکانیزم رمزنگاری ویندوز در اختیار داشته باشه، که اینجور باگ ها معمولا چیزی نیستند که در اختیار عموم یا متخصصین امنیت نرم افزار عادی قرار داشته باشه، و معمولا سازمان های امنیتی مثل NSA سراغ کشف و خرید و نگهداری اینگونه آسیب پذیری ها میرند. قانون کلی اینه که امنیت صد در صد وجود نداره، و شما متناسب با اهمیت اطلاعات تون از شیوه هایی برای افزایش هزینه های دسترسی به اون اطلاعات بر علیه حریف استفاده می کنید. رمزنگاری ویندوز میتونه برای عموم کاربران، و یا برای دور نگه داشتن داده های شخصی و یا تجاری از چشمان کنجکاو گزینه مناسبی باشه؛ ولی برای بعضی کاربردهای دیگه چندان قابل اعتماد نباشه.

----------

