Эта статья посвящена восстановлению
работоспособности encrypted file system (efs), импорту
ключей из старого профиля пользователя в
новую систему для получения доступа к
зашифрованной информации. Для начала
определимся, что ты для начала можешь
попробовать ряд существующих утилит для
этой работы, производимая в статье работа
требует определенных знаний и умений.

• Наш любимый elcomsoft предлагает advanced
  efs data recovery для 2K/ХР по 99 долларов с
  доступной демо-версией.
• Наша любимая Microsoft так же имеет в своем
  арсенала программу восстановления
  reccerts.exe, которую можно получить через
  службу платной поддержки.
• Ну и неизвестная нам Passware предлагает efskey ,
  которая, как говорят, работает медленнее
  aefsdr, а стоит ровно столько же — 95 условных
  енотов.

Вернемся к нашим баранам. По дефолту имена
efs в ХР раскрашены зеленым. При сбое все
ключи, естественно теряются, и при открытии
файла создается пустой документ с
описанием ошибки. Например:

• notepad: cannot open the c:\documents and settings\foo\my
  documents\report.txt
• файл: make sure a disk is in the drive you specified.
• wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.

Появление такой ошибки обычно
свидетельствует о том, что для всех
пользователей, которые имели доступ к файлу,
используется неправильный ключ шифрования.
Причин этого может быть несколько —
наиболее распространенная — переустановка
системы.

Всем рекомендуется перед первым
использованием efs сделать экспорт
публичного и приватного ключей, причем
желательно на другой носитель (cipher /?) — эти
ключи рандомно генерируются при создании и
при повторной установке системы
естественно не повторяются. К удивлению, а
может и специально, при первом
использовании efs никаких предупреждений
доблестная Microsoft не выдает и есть реальная
опасность вообще напрочь про нее забыть.

В 2K и ХР данные о efs лежат тут:

c:\documents and settings\user\application data\microsoft\crypto\ —
приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ —
парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ —
публичный ключ. В общем говоря не так и
важен.

Допустим файлы сохранились и требуется их
использовать. Для работы с файловой
системой требуется тот же аккаунт с тем же
номером компьютера, что и был изначально.
Найти эти данные можно тут:

c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533-
1606980848-854245398-1003

Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003

В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.

Идем в hklm\sam\sam\domains\account\users\%usernumbers% и
проверяем, есть ли аккаунт с таким номером в
системе. Если есть, то надо найти имя
пользователя и создать профиль с
оригинальным паролем. Если нету — создаем,
изменив перед этим hklm\sam\sam\domains\account\f по
смещению 48 на требуемый номер, и добавляем
его в админскую группу. Далее: в
hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины
на оригинальный. Следующее проделываем и
тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows
nt\currentversion\profilelist\ экспортируем ключ,
описывающий номеру машины с суффиксом из
номера пользователя, изменяем на
оригинальные номера и импортируем обратно.
Копируем папки с ключами в c:\documents and
settings\%username%\application data\microsoft\, перегружаемся…
и все должно работать.

В следующей части мы рассмотри ситуацию,
при которой файлов ключей нету.

EFS на Qualcomm-устройствах, резервирование, восстановление

Поделится опытом или задать вопрос можно в .
Данная инструкция посвящена тому, как при помощи программы "QFIL " осуществить резервное копирование "EFS " на ПК, а также процесс восстановления резервной копии "EFS " в устройство: "Lenovo на базе Qualcomm ".

Подготовка

• Выполнить инструкцию: .
• Открыть папку установленного пакета программ "QPST ", и запустить "QFIL.exe ".

• Убедится что программа обнаружила аппарат в режиме: "Lenovo HS-USB Diagnostics ".

• В верхнем меню программы "QFIL " выбрать "Tools " -> "QCN Backup Restore ".

Создание резервной копии EFS

Backup QCN " и дождаться окончания процесса резервного копирования. По умолчанию резервная копия (файл 00000000.qcn ) будет сохранена в папке "C:\temp\ ", место для сохранения и имя резервной копии лучше не менять. Если аппарат двухсимный, то отметить опцию "Enable Multi-SIM". Резервную копию "EFS " желательно скопировать в пару надежных мест.

Лог успешно созданной резервной копии:

Process Index:0 Start Download QCN COM Port number:7 Checking if phone is connected... IsPhoneConnected: Passed. Phone is connected Sent SPC code to the phone successfully Downloading QCN file: C:\temp\00000000.qcn Done downloading the qcn file: C:\temp\00000000.qcn Finish Backup QCN

Восстановление EFS из резервной копии

В открывшемся окне нажать на кнопку "Browse ", указать путь к файлу "00000000.qcn " и нажать "Открыть ". Если аппарат двухсимный, то отметить опцию "Enable Multi-SIM".
Нажать на кнопку "Restore QCN " и дождаться окончания процесса восстановления.

Лог успешно восстановленной резервной копии

Process Index:0 Start Restore QCN COM Port number:7 Uploading QCN file: C:\temp\00000000.qcn Checking if phone is connected... Done uploading the QCN file: C:\temp\00000000.qcn Finish Restore QCN

Папка /efs содержит IMEI смартфона, который является частью системы, которая идентифицирует телефон и сеть, к которой он подключается. Время от времени они удаляются из-за различный вайпов и/или установки кастомных прошивок. Если вы хотите, чтобы каталог /efs не был удален его нужно сохранять в виде резервной копии. Для Samsung Galaxy S3 теперь можно очень просто сделать резервную копию /efs папки при помощи инструмента, предложенного XDA разработчиком.

Резервное копирование/восстановление EFS является очень простым инструментом, которым можно пользоваться с компьютера. Это исполняемый скрипт, который извлекает из телефона EFS данные и сохраняет их на компьютере в виде файла-образа. Если он вам понадобится позже, то вы сможете восстановить, используя аналогичный скрипт. При восстановлении убедитесь, что файл-образ находится в той же папке, что и другие файлы.

Работает этот способ безотказно. Если им пользоваться, то можно практически без риска тестировать различные прошивки. Если вы столкнулись с ошибкой, то нужно будет заранее установить новую версию ADB. Это в случае, если вы не обновили программу заранее.

Эта инструкция покажет вам, как сделать резервную копию Galaxy S3 EMEI и папки /efs.

Предупреждение!
Данные инструкции предназначены для использования только с Galaxy S3 и его разновидностей. Если вы будете использовать данную инструкцию с другими смартфонами, то это может привести к самым нежелательным результатам.
Информация, содержащаяся в данной инструкции, предназначены для получения справочной информации и только в образовательных целых. Не существует никаких гарантий, что данная инструкция будет работать с вашим смартфоном и конкретно в вашей ситуации.
Вы используете данную инструкцию на свой страх и риск. Мы не несем ответственности за все, что может произойти с вашим смартфоном в результате использования информации данного руководства.
Прежде чем фактически выполнять инструкцию прочтите и разберитесь в руководстве.

Технические требования:

• Любым способом получите root-права на Samsung Galaxy S3:
  1. .
  2. .
• Компьютер с Windows и установленным архиватором WinRAR, 7-Zip или подобным.
• Установленные USB драйвера. Обычно они устанавливаются вместе с .
• Скачать инструмент EFS Backup/Restore для Galaxy S3 на свой компьютер.
• Убедитесь, что вы подзарядили батарею Galaxy S3 до 70%, иначе можно получить шанс прерывания процедуры.
• Сделайте резервную копию всех контактов, смс, ммс, настроек интернета, wi-fi паролей, потому что возможна утеря таких данных после процедуры. Советуем синхронизироваться с облачным сервисом или создать локальную копию мобильных данных.

Инструкция:

• 1. Откройте RAR файл и извлеките его содержимое в папку.
• 2. На Galaxy S3 подключите пункт «USB debugging» в Settings > Developer Options > USB debugging.
• 3. Подключите смартфон к компьютеру.
• 4. На компьютере зайдите в папку с разархивированными данными и двойным кликом запустите BAT скрипт:
  • Для создания резервной копии /efs запустите Backup_EFS.bat. Скрипт создаст сохраненный файл с резервной копией в этой же папке с именем efs.img.
  • Для восстановления из резервной копии /efs запустите скрипт Restore_EFS.bat. Заранее проверьте, что файл efs.img также находится в этой же папке.

Поздравляем! Вы только что сделали резервную копию EFS данных для Samsung Galaxy S3, используя инструмент резервного копирования и восстановления.

IMEI иногда «слетает» при перепрошивке гаджета, после чего последний перестает работать корректно, лишившись возможности совершать звонки и выходить в Сеть. Отметим, что некоторые китайские аппараты могут работать без идентификационного номера, но таких устройств меньшинство. Поэтому расскажем, как восстановить IMEI на Андроид, а также как сменить его при необходимости.

Чтобы убедиться, что именно слетевший идентификатор является причиной проблем с гаджетом, введите в поле для набора номера символы *#06#. Если код вашего девайса не появится после этого на дисплее, то проблема определена верно - нужно провести восстановление IMEI. Имейте в виду, что телефон, имеющий две SIM-карты, должен иметь и два идентификатора.

Опишем, как восстановить IMEI на Андроиде после прошивки на примере Samsung:

1. Извлеките из устройства SIM-карту.
2. , для чего в поле для ввода номера напишите комбинацию *#*#4636#*# или *#*#8255#*#, если первый код окажется некорректным.
3. Откройте раздел «CDS Information», затем «Radio Information» и перейдите в подраздел «Phone 1».
4. В верхней строчке, где написано «AT+», введите команду EGMR=1,7. Далее в кавычках прописываем пятнадцатизначный код, соответствующий вашему IMEI.

Учтите, что коды для входа в инженерное меню на разных девайсах различаются. Для Samsung они уже приведены выше. Поэтому перед тем, как сменить IMEI, уточните эту информацию. Для других гаджетов они могут быть следующие:

• *#*#2846579#*# - для гаджетов Huawei;
• *#*#3646633#*# - для устройств Alcatel, Philips и Fly;
• *#*#8255#*#, *#*#3424#*# - для HTC;
• *#*#7378423#*# - для Sony.

Восстанавливать идентификатор можно не только вручную, но и при помощи различных утилит, позволяющих без ввода кода зайти в инженерное меню. Для этого, например, может использоваться программа MTK Engineering Mode, доступная даже в Google Play. Правда, работает она только с процессорами MediaTek.

Сразу отметим, что смена идентификатора устройства не является законной, т. к. утерянный или украденный гаджет по IMEI отыскать уже будет очень проблематично. Опишем, как осуществляется смена IMEI Android в случае, если вы, например, нашли чужой девайс:

После этого останется набрать *#06#, чтобы удостоверится, что идентификатор действительно поменялся. Если же вы хотите вернуть старый имэй и не знаете, как найти пятнадцатизначный код, то при наличии самого устройства сделать это очень просто. Коды находятся на коробке и в самом гаджете на наклейке под батареей.

Mobile Uncle - еще одна небольшая утилита, которая может применяться для смены IMEI при наличии Root-прав. Она доступна в Google Play и имеет там длинное название «Запуск инженерного меню МТК».

Из названия ясно, что приложение работает корректно только с процессорами МТК. Опишем, как восстановить IMEI на Android с помощью этой утилиты, если в установщик не прописал код корректно:

Отметим, что данные способы описывают, как восстановить IMEI на Андроид после прошивки, то есть если он слетел после неудачных пользовательских действий. Прописывать новый требуется лишь в случаях попытки сокрытия незаконных действий с гаджетом. Более того, есть очень большая вероятность, что если поменять «родной» идентификатор на измененный, то смартфон превратится в « », лишившись возможности выхода в Сеть, совершения звонков, отправки сообщений и т. п.

Но даже если вы не можете узнать IMEI, например, в случае кражи гаджета, для передачи информации в правоохранительные органы ее легко получить в личном кабинете Google. Этот способ работает, если девайс подключен к google-аккаунту. Все данные смартфона автоматически сохраняются на сервере, а чтобы их получить, нужно зайти в разделе настройки аккаунта Гугл в подраздел «Личный кабинет» или сразу перейти по ссылке

Мы уже рассмотрели как можно . Там я же сказал, что возможность расшифровки таких данных по умолчанию есть только у данного пользователя. Там же я говорил, что личный ключ, с помощью которого происходит дешифровка зашифрованных файлов EFS, хранится в хранилище личных сертификатов. Только вот что будет, если пользователь потеряет доступ к своему личному ключу? Как тогда восстановить зашифрованные с помощью EFS файлы?

Агент восстановления EFS

Агент восстановления EFS - это учетная запись администратора локального компьютера или администратора домена, смотря где Вы находитесь. Учетная запись администратора способна расшифровать зашифрованные другими пользователями файлы и вернуть их владельцу. Но для этого необходимо создать сертификат агента восстановления EFS и разрешить ему доступ ко всем вновь шифруемым файлам. Надеюсь Вы помните, как мы в предыдущей статье мы разрешали доступ к зашифрованным файлам другому пользователю. Именно это и происходит в случае с агентом восстановления, только всё это делается автоматически.

Как создать агент восстановления EFS?

В данной статье я не буду рассматривать создание агента восстановления EFS внутри домена. Рассмотрим только создание агента восстановления Encrypting File System на локальной машине. Для этого необходимо под учетной записью администратора по умолчанию выполнить следующую команду в окне командной строки:

cipher /r:recoveryagent

Ответом на данную команду станет создание двух файлов:

1. Recoveryagent.cer
2. Recoveryagent.pfx

Они оба расположатся в корневой папке администратора компьютера. Следующим действием необходимо дать понять операционной системе, что только что был создан агент восстановления EFS. Для этого необходимо открыть Редактор локальной групповой политики и перейти в узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики открытого ключа/Шифрующая файловая система и найти пункт Добавить агент восстановления данных . Открыв данную политику необходимо указать на сертификат Recoveryagent.cer . После чего сохранить изменения и .

Как восстановить зашифрованные EFS файлы?

После создания агента восстановления EFS все вновь шифруемые файлы возможно восстановить через учетную запись администратора. Для этого администратору компьютера необходимо найти и запустить файл Recoveryagent.pfx . После запуска необходимо пройтись по всем вновь открываемым окнам в режиме хомячка и после чего администратор компьютера сможет получить доступ ко всем зашифрованным файлам. А так же он сможет снять с них шифрование и вернуть их пользователю. Вот таким образом возможно восстановление EFS.