Thursday, March 24, 2011

Recuperando arquivos EFS com FTK/PRTK

Algumas pessoas utilizam a criptografia do NTFS para armazenar informações e aumentar o nível de segurança do acesso. Esta criptografia, chamada Encrypted File System (ou simplesmente EFS), é boa para os usuários pois eles não tem que memorizar uma senha nova: o Windows utiliza a própria senha de login como chave de criptografia para os arquivos. Então, para acessar estes arquivos criptografados, o processo é fácil: basicamente, quebre a senha do windows e ganhe acesso aos arquivos.

 Neste post, vou falar sobre este processo utilizando uma metodologia forense para acesso a estes dados.


Introdução
Em sistemas Windows 2000 e Windows XP, o sistema da Microsoft de criptografia de arquivos (EFS) permite criptografar um único arquivo todos os arquivos salvos em uma pasta específica. O usuário não tem que se lembrar de senhas, pois o Windows criptografa os dados usando sua senha de logon.

Recuperando senhas EFS
Se durante a investigação o examinador encontrar arquivos EFS, este deverá exportar os arquivos de registro da SAM e SYSTEM utilizando o Imager ou o FTK, e então importar estes arquivos para o PRTK para obter a senha de login do Windows. Após conseguir a senha, deverá voltar ao FTK e recuperar os arquivos EFS pela interface do FTK.

Passos para recuperação de arquivos EFS:


1) Exportar os arquivos de registro SAM e SYSTEM pelo Imager


2) Iniciar o PRTK (no meu caso, estou utilizando o DNA, são a mesma ferramenta)


3) No PRTK, adicionar o arquivo SAM e, quando solicitado, informar o local do arquivo SYSTEM quando o SYSQUEY for solicitada.






Após recuperar a senha, voltar ao FTK, selecionar o menu Tools, opção Decrypt Files e então informar as senhas recuperada pelo PRTK




Clicar em OK e então o FTK irá instanciar o PRTK para descriptografar os arquivos EFS.






Caso a senha encontrada pelo PRTK seja válida, o FTK irá descriptografar o conteúdo do arquivo. Caso contrário, a senha de login possivelmente foi alterada após a captura dos arquivos ou a senha recuperada é de outro usuário que não o proprietário do arquivo encriptado com EFS. Se uma máquina é compartilhada com mais de um usuário, é importante obter a senha de todos os usuários, a fim de aumentar a chance de obter acesso aos arquivos encriptados.

Os arquivos decriptados aparecem na guia Overview, seção Decrypted Files:



É importante observar que certos tipos de arquivos não podem ser encriptados com EFS:
•  Arquivos de sistema
•  Arquivos com compressão do NTFS
•  Arquivos em %Systemroot% ou subdiretórios

Maiores informações sobre recuperar senhar com o PRTK aqui.
Maiores informações sobre EFS no site da Microsoft.

Update 24/03: Adicionado print das telas do tutorial.


Update 18/09: Informações Úteis!


O Thiago precisou recuperar alguns arquivos criptografados com EFS, mas que estavam armazenados em um HD externo e ele já não tinha a máquina original contendo o sistema operacional original. Após entrar em contato com o suporte da AccessData, eis a resposta:


In order to decrypt files encrypted using EFS you will need an E01 or DD image with the following:

- The EFS-encrypted files, imaged in a way that preserves the $EFS = alternate data streams and their logical links to the encrypted files (usually a physical image)
- The user's 'Crypto' folder ( "C:\Documents and Settings\[USERNAME]\Application Data\Microsoft\Crypto" or "C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Crypto")
- The user's 'Protect' folder ( "C:\Documents and Settings\[USERNAME]\Application Data\Microsoft\Protect" or "C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Protect")

You will also need to know (or find) the user's Windows password.

If you only have an image of the user's external drive and not an image of the user's OS drive (or above listed files), then you will not be able to decrypt the files.

No comments:

Post a Comment