Як виглядають зашифровані файли Windows 7?

Добре, це цікаве питання:

Що виглядають зашифровані файли Windows 7 (Home Premium) (EFS) "ззовні"?

Тепер ось історія. Ознайомлення моїх друзів отримало неприємний вірус / scareware. Так що я вирвав з себе техніку шапки комп'ютера і пішов працювати над ним. Що я зробив, це видалити диск з ноутбука і покласти диск в зовнішній відсік. Я сканував диск і так, він був завантажений з матеріалом. Це в основному вилікувало інфекцію, і я міг би запустити систему.

Щоб перевірити, чи вилікувалася проблема, я хотів бачити систему під час роботи. Там, де два облікові записи користувачів, на з паролем і один без (обидва адміністратора користувачів!?!). Тому я увійшов у незахищений користувач і очистив залишкові питання, наприклад проксі-сервер для localhost у конфігурації браузера. Тепер я хотів зробити те ж саме для захищеного паролем користувача.

Що я помітив, що з моєї системи і незахищеного облікового запису користувача файли захищеного користувача виглядали перекрученими. Файли щось на зразок 12 випадкових символів alphanum, але папки виглядали нормально. Наївним, як вважалося, може бути так, як зашифровані файли виглядають "ззовні". (Я ніколи не використовую власні функції безпеки Microsoft, так як я знаю. TrueCrypt - це одна велика крапка.)

Оскільки до другого користувача не вдалося дістатися, я, хоч і зняв пароль з облікового запису. (Це, можливо, була помилка, я знаю.) Тепер я зробив ті ж самі завдання, що прибирали, і все добре і добре; крім файлів, де все ще "зашифровані".

Так що я подивився на багато повідомлень відновлення зашифрованих файлів Windows, і не всі надії втрачені, оскільки я повинен мати можливість витягти сертифікат і з паролем відновити доступ до файлів. Також візьміть до уваги, що вікна "тільки" підказують, що видалення пароля буде небезпечним, а не доступ до зашифрованих файлів буде втрачено, як це вимагається в більшості статей відновлення. Скидання пароля не допомогло, і я відмовився від ночі.

Питання, яке мене наполягало на половину останньої ночі, полягало в тому, що, якщо файли не зашифровані, але зашифровані / знищені файли? Я не хочу витрачати багато годин на роботу, намагаючись відновити файли, які не підлягають відновленню. Це те, що користувач не пам'ятає, що він включений, і чи не позначені файли синім кольором, а ім'я файлу читається?

Велике спасибі за інформацію від користувачів, які мають більше знань про Windows EFS ...

Добре це взяло деяке дослідження та деякий пробуючий. Але я знайшов відповідь на своє запитання:

Files that are encrypted with Windows EFS are green and the filename 
is unaltered. This is true when authenticated or not.

Шкода для користувача, який втратив свої файли, а не резервні копії.

Зашифровані файли виглядають як випадкові дані з високою ентропією. Якщо вони виглядають як щось, ви знаєте, що вони зашифровані, з яким алгоритмом і навіть які дані були зашифровані, що переможе саму мету шифрування.

Це старе питання, але я думаю, що варто додати:

Так, у провіднику вони виглядають зеленими (якщо ви увімкнули "показати зашифровані та стислі файли в альтернативному кольорі"), а імена файлів не спотворені. (Майте на увазі, що самі імена файлів можуть пропускати інформацію.)

Якщо ви спробуєте відкрити без доступу до сертифіката EFS, який захищає ключ сесії (в основному, якщо ви не ввійшли в систему як користувач, який зашифрував файл), ви не побачите зашифрованого вмісту. Ваша відкрита спроба буде просто невдалою, так само, як якщо б вам було відмовлено у доступі до файлу через його ACL. (Це досить легко перевірити, якщо ви можете створити другий обліковий запис на вашому комп'ютері.)

Якщо у вас є доступ до сертифіката EFS, то файл просто діє як звичайний файл. Ви не виконуєте окремого кроку "дешифрування" для використання файлу.