XP prof. mit EFS-Verschlüsselten Dateien retten.

[Tomes]

Hallo Leute,

hab folgendes Problem:

Nach der Installation von Norton 360 startet mein System nicht mehr.

Beim Starten wurde erst die Hal.dll gefordert, dann nach erfolgreichem expand aus i386 über die XP-CD wurde plötzlich die ntoskrnl.exe gefordert. Wieder das gleiche Spiel über die Konsole mit dem Ergebniss dass jetzt ein Problem als "Ladeprogramm benötigt DLLs für Kernel" gemeldet wurde....

nach Wiederherstellungskonsole, Knowledge Base usw. bin ich jetzt im XP-Setup, welches nach genau "noch 34 Minuten" abbricht. Ich habe zwar den Mauszeiger, kann aber weder Klicken noch den Zeiger bewegen, auch über Tab-Taste geht nichts.

Windows meckert über das Keyboard, Maus und Radeon 8500, daß der Windows-Logo-Test nicht bestanden wurde.

Leider kann ich keinen der beiden Buttons "Ja" oder "Nein" drücken...........

Meine Frage: komme ich irgendwie an meine teilweise mit XP verschlüsselten Daten ran?
In der Reperaturkonsole wird mein Administrator-Kennwort abgefragt und ich komme in C:\Windows, jedoch dann nicht weiter, da kein Zugriff auf andere Ordner möglich ist.

Über die Knoppix DVD kann ich alle Daten auf der Festplatte (HDA) sehen und teilweise auch auf USB-Stick kopieren, nur die Verschlüsselten Daten lassen sich nicht kopieren.

Wie soll ich weiter vorgehen?

Besteht die Möglichkeit doch noch das System zum laufen zu bringen?

Vielen Dank einstweilen für Eure Hilfe, Grüße Tomes

 

[Executor55]

Also ich sag nur soviel ... ich wäre damals froh gewesen wenn ich überhaupt Daten von meiner zerschossenen WinXP Partition retten konnte ... und deine sind verschlüsselt
Prost Mahlzeit

Spass beiseite kann dir da leider nicht helfen sry

 

[CHaos.Gentle]

schon mal probiert die platte an ein anderes system zu hängen und dort nen user zu erstellen der selbes pw und namen hat wie dein alter?

kenne mich nur mit xp verschüsselung nicht aus, aber ich könnte mir vorstellen, dass das klappt...

 

[critique]

Einen vergleichbaren Fall hatte ich auch einmal. Kopiere die Daten auf einen anderen Rechner, importiere Zertifikat sowie Schlüssel und mit dem Wiederherstellungsagenten des standardmäßigen Administratorkontos hast Du wieder Zugriff auf deine Daten.

 

[Tomes]

Hallo Leute,

danke für die Infos, hab mal die "kaputte" Platte als Slave an mein "neues" System gehängt. Die "kaputte" Platte taucht als "Festplatte C" Laufwerk (F) auf und ich kann auf alle Dateien zugreifen - bis auf die "grünen" verschlüsselten Dateien.

Hab dann zusätzlich mal Advanced EFS Data Recovery in der Demoversion installiert. Das Programm sagt mir, dass alle Dateien entschlüsselbar wären....

@ critique

äh, wie?, was?, kannst Du mir das in kurzform auch für Dummies wie mich erklären? Ich denke Du hast da denn Schlüssel für mich, ohne dass ich mir das aefsdr-Programm in der Vollversion zulegen muss.

Wie und wo kann ich mir das Zertifikat und den Schlüssel importieren? auf das alte System kann ich ja nicht mehr zugreifen, da es auf Laufwerk (F) als Slave hängt.

Danke einstweilen für Eure Hilfe - Gruß in die Nacht - Tomes

 

[critique]

Hast Du überhaupt deinen privaten Schlüssel gesichert?

Edit: Wenn nicht, verändere auf keinen Fall irgendwelche Daten auf der Platte! Ohne das Windows-Verzeichnis nebst deinem Benutzerkonto sind deine Daten sonst unwiederbringlich verloren.

 

[Tomes]

Den privaten Schlüssel...hätte ich wohl sichern sollen.....

s***t, habe ich natürlich nicht gesichert.

Ich hab - vor diesem blöden Norton- schlauerweise noch einen Wiederherstellungspunkt erstellt, jedoch nicht mit einem Windows XP gerechnet, daß sich nicht wiederherstellen lässt...trotz Wiederherstellungsprogramm....

So wie es aussieht bleibt mir wohl nichts anderes als diese Vollversion von diesem EFS-Knacker-Programm übrig...oder?

Danke Dir critique - Gruß und gute Nacht - Tomes

 

[1668mib]

Als erstes sollte man wenn dan die Verschlüsselung nutzt immer das Zertififakt exportieren...

Wie sicher ist denn, dass das EFS-Tool die Dateien auch wirklich entschlüsselt bekommt?

Und: Wenn man so einfach über das Tool rankommt, dann kann man sich die Verschlüsselung eh gleich erparen...

 

[Tomes]

"Als erstes sollte man wenn dan die Verschlüsselung nutzt immer das Zertififakt exportieren..."

Das ist mir jetzt auch klar...

"Wie sicher ist denn, dass das EFS-Tool die Dateien auch wirklich entschlüsselt bekommt?"

In der Demoversion (nur die ersten 512 Byte der Datei werden entschlüsselt) konnte ich eine kleine .txt Datei öffnen, lesen und kopieren. Alle Dateien können laut Angabe entschlüsselt werden.

"Und: Wenn man so einfach über das Tool rankommt, dann kann man sich die Verschlüsselung eh gleich erparen... "

Das denke ich mir jetzt auch. Das Programm konnte alle Daten entschlüsseln, obwohl ich keinen Benutzernamen sowie Passwort eingegeben habe...

Deshalb die Frage an die Profis:

Die Schlüssel sind anscheinend ja noch auf der Platte vorhanden, besteht die Möglichkeit hier den Schlüssel zu finden, zu exportieren und irgendwie umzuwandeln?

Danke und Gruß - Tomes

 

[critique]

Das von dir beschriebene Tool knackt nicht EFS, sondern ermittelt mithilfe der im System hinterlegten Zertifikate den Schlüssel.

Liest das Tool die Daten aus, scheinen die Zertifikate noch vorhanden zu sein. Wenn es keinen großen Kostenfaktor darstellt, ist das ein gangbarer Weg.

 

[1668mib]

Alternativ: Wenn die Zertifikate noch da sind, könnte man vielleicht auch anders an diese rankommen?

 

[critique]

Um den Wiederherstellungsagenten zu starten, muss dieser mit dem privaten Schlüssel autorisiert werden. Meine Angabe weiter oben war ungenau, weil nur der standardmäßige Domänenadministrator keine Berechtigung benötigt, der in einer Arbeitsgruppe hingegen schon.

Ist das Windows und somit das Konto nicht mehr startfähig, sehe ich keine Möglichkeit, ohne besagtes Tool an die Daten zu gelangen. Dieses ist in der Lage, aus den noch vorhandenden Daten den Schlüssel zu generieren. Es scheint kein Fehler im Algorithmus, sondern in der Implementierung zu sein.

Da der Weg umfassendes Verständnis von EFS voraussetzt, wird er für einen Normalanwender nicht nachzuvollziehen sein.

 

[Fiona]

Erstelle dir mal eine Bart's PE Builder-CD und versuche deine Certificates zu kopieren.
Speicherort hatte ich hier mal in den Link beschrieben und Anleitung wie du als Admin auch Zugriff bekommst.
https://www.computerbase.de/forum/t...n-fuer-immer-unbrauchbar.198212/#post-1929127
Kennwort solltest du aber eigentlich wissen.
Ansonsten nehme Testdisk oder die Testdisk-Boot-CD;

Ansonsten wenn die Reparaturinstallation nicht klappt, installiere auf ein anderes Laufwerk Windows und probiere es zur Sicherheit von dort aus.

Ich hoffe das es nur ein Bootproblem ist, und deine Daten auch unter Bart's PE Builder oder einer zweiten Installation angezeigt werden.

Viele Grüße

Fiona

 

[Tomes]

Hallo Leute,

hier mein Abschlussbericht:

alle meine Dateien konnte ich dank (?!) Elkomsoft wieder entschlüsseln und verwenden.

Bin absolut happy daß dies relativ einfach zu machen war.

Bedeutet natürlich auch, daß ich mir die Verschlüsselung in Zukunft sparen kann und auch werde. (PC steht nicht mehr im externen "Garagenbüro") sondern bei mir in der Wohnung.

Danke nochmal - Grüße Tom

PS: Vielleicht versuche ich das alte System wieder zum laufen zu bringen. Vorrang hatten allerdings die Daten mit denen ich ja arbeiten muss.