好吧,这是一个有点奇怪的问题:
Windows 7(家庭高级版)加密文件(EFS)“从外部”看起来像什么?
故事是这样的。我一个朋友的熟人感染了病毒/恐吓软件。于是我拿出我的电脑技术员帽,开始着手处理它。我所做的就是从笔记本电脑中取出驱动器,并将其放入我的外部驱动器托架中。我扫描了驱动器,是的,它装载了一些东西。这基本上治愈了感染,我可以重新启动系统了。
为了检查它是否解决了问题,我想在运行时查看系统。有两个用户帐户,一个有密码,一个没有密码(都是管理员用户!?!)。所以我登录了不受保护的用户并清理了残留问题,例如浏览器配置中的代理服务器到本地主机。现在我想对受密码保护的用户执行相同操作。
我注意到,从我的系统和未受保护的用户帐户来看,受保护用户的文件看起来乱码了。文件大约是 12 个随机字母数字字符,但文件夹看起来没问题。天真地以为加密文件“从外面”看起来可能是这样的。(我从不使用 Microsoft 自己的安全功能,所以我怎么会知道呢。TrueCrypt 是一个大块头。)
由于无法联系到第二个用户,我决定放弃,并从帐户中删除密码。(我知道这可能是一个错误。)现在我执行了相同的清理任务,一切都很顺利;除了仍然“加密”的文件。
因此,我查看了许多 Windows 加密文件恢复帖子,但并非完全没有希望,因为我应该能够提取证书并使用密码重新获得对文件的访问权限。还请注意,Windows 确实“仅”提示我删除密码是不安全的,而不是像大多数恢复文章中声称的那样,对加密文件的访问权限会丢失。重置密码没有帮助,我放弃了。
昨晚困扰我半天的问题是,如果文件没有加密,但恐吓软件加密/破坏了文件怎么办?我不想花几个小时试图恢复无法恢复的文件。问题是用户不记得打开它,文件不是用蓝色标记并且文件名可读吗?
非常感谢对 Windows EFS 有更多了解的用户的意见...
答案1
好吧,经过一番研究和尝试,我找到了问题的答案:
Files that are encrypted with Windows EFS are green and the filename
is unaltered. This is true when authenticated or not.
可怜丢失文件的用户,那里没有备份。
答案2
加密文件看起来像是高熵的随机数据。如果它们看起来像某种东西,您就会知道它们是加密的、使用哪种算法加密的,甚至知道哪些数据是加密的,这将违背加密的初衷。
答案3
这是一个古老的问题,但我认为值得补充:
是的,在资源管理器中,它们看起来是绿色的(假设您已启用“以其他颜色显示加密和压缩文件”),并且文件名不是乱码。(因此请注意,文件名本身可能会泄露信息。)
如果您尝试打开一个文件而无法访问保护会话密钥的 EFS 证书(基本上,如果您不是以加密文件的用户身份登录),您将看不到加密内容。您的打开尝试将失败,就像您被拒绝通过其 ACL 访问该文件一样。(如果您可以在您的机器上创建第二个帐户,则测试起来相当容易。)
如果您确实有权访问 EFS 证书,则该文件就像普通文件一样。您无需执行单独的“解密”步骤即可使用该文件。