EFS на Qualcomm-устройствах, резервирование, восстановление. Восстановление зашифрованных EFS файлов и папок Как восстановить раздел efs

EFS на Qualcomm-устройствах, резервирование, восстановление

Поделится опытом или задать вопрос можно в .
Данная инструкция посвящена тому, как при помощи программы "QFIL " осуществить резервное копирование "EFS " на ПК, а также процесс восстановления резервной копии "EFS " в устройство: "Lenovo на базе Qualcomm ".

Подготовка

Выполнить инструкцию: .
Открыть папку установленного пакета программ "QPST ", и запустить "QFIL.exe ".

Убедится что программа обнаружила аппарат в режиме: "Lenovo HS-USB Diagnostics ".

В верхнем меню программы "QFIL " выбрать "Tools " -> "QCN Backup Restore ".

Создание резервной копии EFS

Backup QCN " и дождаться окончания процесса резервного копирования. По умолчанию резервная копия (файл 00000000.qcn ) будет сохранена в папке "C:\temp\ ", место для сохранения и имя резервной копии лучше не менять. Если аппарат двухсимный, то отметить опцию "Enable Multi-SIM". Резервную копию "EFS " желательно скопировать в пару надежных мест.

Лог успешно созданной резервной копии:

Process Index:0 Start Download QCN COM Port number:7 Checking if phone is connected... IsPhoneConnected: Passed. Phone is connected Sent SPC code to the phone successfully Downloading QCN file: C:\temp\00000000.qcn Done downloading the qcn file: C:\temp\00000000.qcn Finish Backup QCN

Восстановление EFS из резервной копии

В открывшемся окне нажать на кнопку "Browse ", указать путь к файлу "00000000.qcn " и нажать "Открыть ". Если аппарат двухсимный, то отметить опцию "Enable Multi-SIM".
Нажать на кнопку "Restore QCN " и дождаться окончания процесса восстановления.

Лог успешно восстановленной резервной копии

Process Index:0 Start Restore QCN COM Port number:7 Uploading QCN file: C:\temp\00000000.qcn Checking if phone is connected... Done uploading the QCN file: C:\temp\00000000.qcn Finish Restore QCN

Что такое NVRAM

NVRAM в приложении к смартфонам на платформе МТК - это служебная область в энергонезависимой памяти, в которой хранятся IMEI, MAC-адреса для WiFi, BT, и много другой уникальной для Вашего смартфона информации. Когда Вы делаете сброс к заводским настройкам, из этого раздела делается копия в раздел пользовательских данных /data, и уже эти данные использует Андроид.

Чем чревата порча раздела NVRAM

Работающими со сбоями или вообще не работающими WiFi, BT, мобильной связью

Как можно испортить раздел NVRAM

Некорректно отработавшей при прошивке версией SP Flash Tool (именно поэтому рекомендуется пользоваться именно той версией, которая идет вместе с прошивкой), полным форматированием памяти в SP Flash Tool (в редких случаях приходится делать эту операцию), неправильным скриптом для рекавери.

Этих проблем можно избежать, если следовать простому правилу : получив на руки смартфон, первым делом надо сделать бэкап (в том числе, и раздела NVRAM, или хотя бы только его) и сохранить его на компьютере!

Возможно, с ним будут какие-то проблемы и придется его возвращать по гарантии, бывает, что прошивку, с которой он пришел, просто не найти в сети, возможно, Вы переэкспериментируете с прошивками.... Рекомендую делать полный бэкап, а потом уже экспериментировать.

Для создания бэкапа у Вас должны быть права root на телефоне или установлено рекавери TWRP.

Бэкап раздела NVRAM можно получить следующими способами:

Спойлер

С помощью кастомного рекавери TWRP.

Если для Вашего телефона уже есть расширенное рекавери TWRP, в нем можно сделать бэкап для восстановления (в нем же) всех основных системных разделов - просто в главном меню нажмите кнопку

Backup , отметьте галочки на всех пунктах Select partitions to back Up , поставьте галочку включения сжатия Enable compression , задайте имя нажатием Set Backup Name и свайпом вправо запустите создание бэкапа

Спойлер

После этого перегрузитесь и, подключив смарт к ПК, скопируйте папку TWRP\BACKUPS\имя вашего бэкапа в надежное место. Из такого полного бэкапа Вы всегда можете восстановить любой необходимый раздел, в том числе и NVRAM

Спойлер

C помощью программы MTK Droid Tools с ПК.

Большинство владельцев телефонов на платформе МТК знает этот мощный инструмент.

Скачайте последнюю версию отсюда (ссылка авторская, будет простейшей формой благодарности скачать программу по ней)

На телефоне в настройках в разделе "Параметры разработчика" включена Отладка по USB . Если у Вас в настройках нет раздела "Параметры разработчика", то зайдите в настройках в пункт "О телефоне" и 7-кратным тапом по номеру сборки включите отображение раздела "Параметры разработчика".

После этого от имени администратора запускайте MTKdroidTools.exe и подключайте кабелем телефон к порту на материнской плате ПК (сзади)

После того, как программа обнаружит Ваш телефон, в левом нижнем углу появится цветной прямоугольник, сигнализирующий возможности работы с телефоном.

Если этот прямоугольник зеленый , как на скриншоте - все в порядке, root shell есть

Спойлер

Если этот прямоугольник желтый , то надо нажать справа внизу кнопку ROOT и следовать указаниям

Спойлер

Чаще всего программе удается получить временный root shell.

После этого нажмите кнопку IMEI/NVRAM, проверьте наличие галочек на пунктах /dev/nvram и /data/nvram и нажмите кнопку Backup . По окончании работы в подпапке программы BackupNVRAM появятся два файла с расширениями bin и tar и информацией в имени о имени телефона, IMEI и дате/времени создания бэкапа NVRAM.

Спойлер

Спойлер

Скачайте архив и распакуйте в папку с полным доступом для Вас (желательно, без пробелов и русских букв в пути), в которой Вы будете хранить свой бэкап NVRAM.

Проверьте перед запуском, что:

На компьютере временно отключен антивирус

На компьютере установлены драйвера ADB

На телефоне в настройках в разделе "Параметры разработчика" включена Отладка по USB. Если у Вас в настройках нет раздела "Параметры разработчика", то зайдите в настройках в пункт "О телефоне" и 7-кратным тапом по номеру сборки включите отображение раздела "Параметры разработчика".

Подключите кабелем телефон к порту на материнской плате ПК (сзади) и запустите NVRAM_backup.bat , по окончании работы в папке появится файл nvram.img .

Эта статья посвящена восстановлению
работоспособности encrypted file system (efs), импорту
ключей из старого профиля пользователя в
новую систему для получения доступа к
зашифрованной информации. Для начала
определимся, что ты для начала можешь
попробовать ряд существующих утилит для
этой работы, производимая в статье работа
требует определенных знаний и умений.

Наш любимый elcomsoft предлагает advanced
efs data recovery для 2K/ХР по 99 долларов с
доступной демо-версией.
Наша любимая Microsoft так же имеет в своем
арсенала программу восстановления
reccerts.exe, которую можно получить через
службу платной поддержки.
Ну и неизвестная нам Passware предлагает efskey ,
которая, как говорят, работает медленнее
aefsdr, а стоит ровно столько же - 95 условных
енотов.

Вернемся к нашим баранам. По дефолту имена
efs в ХР раскрашены зеленым. При сбое все
ключи, естественно теряются, и при открытии
файла создается пустой документ с
описанием ошибки. Например:

notepad: cannot open the c:\documents and settings\foo\my
documents\report.txt
файл: make sure a disk is in the drive you specified.
wordpad: access to c:\docume~1\foo\mydocu~1\report.txt was denied.

Появление такой ошибки обычно
свидетельствует о том, что для всех
пользователей, которые имели доступ к файлу,
используется неправильный ключ шифрования.
Причин этого может быть несколько -
наиболее распространенная - переустановка
системы.

Всем рекомендуется перед первым
использованием efs сделать экспорт
публичного и приватного ключей, причем
желательно на другой носитель (cipher /?) - эти
ключи рандомно генерируются при создании и
при повторной установке системы
естественно не повторяются. К удивлению, а
может и специально, при первом
использовании efs никаких предупреждений
доблестная Microsoft не выдает и есть реальная
опасность вообще напрочь про нее забыть.

В 2K и ХР данные о efs лежат тут:

c:\documents and settings\user\application data\microsoft\crypto\ -
приватный ключ
c:\documents and settings\user\application data\microsoft\protect\ -
парольная запись к приватному ключу
c:\documents and settings\user\application data\microsoft\systemcertificates\ -
публичный ключ. В общем говоря не так и
важен.

Допустим файлы сохранились и требуется их
использовать. Для работы с файловой
системой требуется тот же аккаунт с тем же
номером компьютера, что и был изначально.
Найти эти данные можно тут:

c:\documents and settings\%username%\application data\microsoft\crypto\rsa\s-1-5-21-1078081533-
1606980848-854245398-1003

Номер компьютера: 1078081533-1606980848-854245398
Номер пользователя: 1003

В hex соответственно: fd374240 f094c85f 16c0ea32 и 3eb.

Идем в hklm\sam\sam\domains\account\users\%usernumbers% и
проверяем, есть ли аккаунт с таким номером в
системе. Если есть, то надо найти имя
пользователя и создать профиль с
оригинальным паролем. Если нету - создаем,
изменив перед этим hklm\sam\sam\domains\account\f по
смещению 48 на требуемый номер, и добавляем
его в админскую группу. Далее: в
hklm\sam\sam\domains\builtin\aliases\00000220\c меняем SID машины
на оригинальный. Следующее проделываем и
тут: hklm\sam\sam\domains\account\v. Из hklm\software\microsoft\windows
nt\currentversion\profilelist\ экспортируем ключ,
описывающий номеру машины с суффиксом из
номера пользователя, изменяем на
оригинальные номера и импортируем обратно.
Копируем папки с ключами в c:\documents and
settings\%username%\application data\microsoft\, перегружаемся...
и все должно работать.

В следующей части мы рассмотри ситуацию,
при которой файлов ключей нету.

При работе с операционными системами Windows XP/Vista/7 и восстановлении паролей к почте и интернет-сайтам. Следующей задачей, которой часто приходится заниматься при расследовании инцидентов, является восстановление паролей к архивам, почтовым клиентам и EFS (Encrypting File System). Об этом и пойдет речь в данной статье.

Восстановление ключей EFS

На самом деле, правильнее всего в этой ситуации восстановить пароль пользователя . Тогда расшифровать EFS будет значительно проще, мы к этому еще вернемся. Однако необходимо понимать, что даже если у вас нет пароля, все равно можно попробовать расшифровать соответствующие файлы и папки. Для этого предназначено программное обеспечение Advanced EFS Data Recovery.

В данном программном обеспечении для удобства пользователя создан соответствующий мастер Advanced EFS Data Recovery, с помощью которого вы сможете пошагово пройти весь процесс расшифровки. Или можно воспользоваться "Режимом эксперта" для того, чтобы выполнять действия самому.

На мой взгляд, если человек, использующий Advanced EFS Data Recovery, не чувствует себя уверенно, гораздо удобнее задействовать Мастер Advanced EFS Data Recovery. Рассмотрим этот режим более подробно.

На первом этапе работы мастера Advanced EFS Data Recovery система запросит персональный сертификат , использовавшийся для EFS.

Предположим, у вас есть такой сертификат (ситуация крайне редкая, ведь пользователи почему-то либо пренебрегают экспортом сертификатов, либо просто забывают, куда же его экспортировали). В этом случае все достаточно просто. От вас требуется выбрать файл сертификата и ввести пароль сертификата. Далее производится поиск всех зашифрованных с его помощью папок и файлов на локальных разделах. Вы получаете список зашифрованных данным сертификатом файлов, которые можете расшифровать. Естественно, в случае исследования компьютера расшифровывать придется на другой жесткий диск или внешний носитель , дабы ничего не повредить.

Но как быть, если у вас нет сертификата? В этом случае мастер Advanced EFS Data Recovery предложит поискать его на жестком диске. Учтите, что вы сможете искать сертификат не только среди существующих файлов, но и среди удаленных. Но для этого необходимо включить флажок "Сканировать посекторно". Рекомендуется включать данный режим при повторном сканировании, если на первом проходе вы не обнаружили искомые сертификаты.

Далее некоторое время у вас займет сам поиск ключей. В результате поиска будет выведено окно мастера. Если ключи не найдены, необходимо ввести имя пользователя (владельца EFS) и его пароль или в крайнем случае HEX-код. Как получить пароль пользователя, было описано в предыдущей статье.

Если вам известен пароль пользователя, вы вводите имя соответствующей учетной записи и ее пароль и нажимаете кнопку "Вперед". Далее происходит дешифрование найденных папок и файлов, зашифрованных с помощью EFS. Как видите, даже если вы переустановили операционную систему, это не означает, что вы потеряли данные, зашифрованные с помощью EFS.

Не забудьте, что если вы знаете имя и пароль учетной записи, под которой осуществлялось шифрование , процесс расшифровывания займет куда меньше времени. В противном случае можно попытаться осуществить дешифрование с помощью режима эксперта. Хотя надо признать, что вероятность положительного результата в данном случае заметно ниже. Вам будет предложено добавить пароль из словаря. Естественно, считается, что файлы словарей у вас есть.

Хотелось бы отметить следующее. Как мы видим, сегодня существуют достаточно мощные средства восстановления (взлома) паролей. Следовательно, для обеспечения их стойкости у нас есть три пути:

Дальнейшее наращивание длины и сложности (на мой взгляд, путь тупиковый, потому что рано или поздно пользователи начинают путаться, забывать пароли, применять один и тот же на все случаи жизни и т. д.).
Использование биометрических средств аутентификации .
Использование многофакторной аутентификации и сертификатов. Данный путь опять-таки, на мой взгляд, значительно перспективнее, однако стоит учесть, что предлагаемые решения, конечно же, стоят денег, и порой немалых.

Выбор, естественно, за вами.

Владимир БЕЗМАЛЫЙ

Каждый раз, когда вы решаетесь обновить Samsung Galaxy S3 пользовательской прошивкой, можно в конечном итоге потерять данные, которые хранятся во внутренней памяти. К сожалению, не только обычные данные такие, как контакты, сообщения, журналы вызовов или приложения могут быть уничтожены, но и такие как настройки интернет или папка EFS могут быть стерты тоже. Таким образом, во избежание неприятных ситуаций, мы научим вас, как делать резервное копирование и восстановление EFS на Samsung Galaxy S3 с помощью метода “в один клик”. Как обычно, все это объясняется в простом пошаговом руководстве, так что давайте начнем.

Почему нужно делать резервную копию EFS? EFS хранит IMEI и позволяет телефону устанавливать подключение к интернету, так что в случае, если эта папка будет стерта, телефон больше не будет иметь возможность использовать подключение к интернету. Итак, если вы недавно обновили Galaxy S3 и не можете выходить во всемирную паутину, то, возможно, папка EFS была уничтожена. Вот почему вам нужно заранее сделать , чтобы можно было легко при необходимости восстановить ее. Для тех, кто не может сделать это, единственным решением будет установить стоковую прошивку или применить официальное обновление, выпущенное Samsung, подходящее к S3.

Есть много способов узнать, как сделать резервную копию EFS, сегодня мы объясним вариант с инструментом “в один клик”. Для этого понадобится компьютер под управлением Windows и USB кабель для телефона, так как нужно будет подключать S3 к ПК. Кроме того, эта процедура требует рут-права на смартфоне. Если их нет, тогда для начала нужно рутировать устройство и удалить заводские ограничения. Имейте в виду, получение рут-прав автоматически делает гарантию недействительной. Мы рекомендуем вам поискать через наш раздел Руководства подходящее пошаговое руководство, в котором вы можете найти все, что нужно знать об операции получения корневого доступа. Затем вернитесь сюда и продолжайте изучать остальную часть руководства.

Помните, что рекомендуется сделать резервную копию всех данных с Galaxy S3 (перед обновлением или внесением изменений в систему), а не только папки EFS. Важно сохранить вашу личную информацию, так как она, вероятно, будет уничтожена. Для получения полной резервной копии вы можете скачать SMS Backup & Restore для Android, Call Logs Backup & Restore, синхронизироваться с Google для сохранения контактов или использовать пользовательский образ восстановления (такой как CWM) для резервного копирования текущей системы.

Перед выполнением всех шагов необходимо отключить средства безопасности на компьютере и телефоне, так как эти программы могут прервать операцию резервного копирования, путем остановки инструмента “в один клик”. Затем включите опцию отладки по USB на Galaxy S3 (это требование присутствует в шагах ниже) и зарядите аккумулятор смартфона, чтобы он не выключился прямо посередине процесса.

Вам может понравиться:

Обратите внимание на то, что данное руководство может быть применено и должно применяться только для Samsung Galaxy S3, а не для какого-либо другого android-устройства. Этот метод впервые был разработан и испытан XDA-разработчиками, поэтому мы должны сказать им спасибо за эту возможность. Теперь, наконец, вы можете выполнить соответствующие действия. Прочитайте все внимательно. Процесс прост и его выполнение займет всего пару минут, поэтому давайте начнем.

Как сделать резервную копию EFS на Samsung Galaxy S3, используя метод “в один клик”

Прежде всего, скачайте Samsung Kies на компьютер для установки подходящих драйверов для Samsung Galaxy S3.
Затем скачайте приложение EFS backup and restore отсюда (найдите download).
У вас должен быть файл с расширением.rar.
Распакуйте архив.
На Galaxy S3 должна быть включена опция отладки по USB. Перейдите в раздел Настройки -> Разработчик и убедитесь, что параметр отладки по USB отмечен.
Теперь, подключите устройство к компьютеру, используя USB-кабель.
После того, как телефон подключен, перейдите в папку, куда вы распаковали загруженный файл и нажмите на исполняемый файл Backup EFS.
Выполните все шаги.
EFS сохранится в ту же самую папку в формате.img.
Если понадобится восстановить EFS, тогда нужно запустить Restore_EFS и снова выполнить все шаги.

Это был метод “в один клик”, с помощью которого можно легко выполнять резервное копирование и восстановление EFS на Samsung Galaxy S3. Теперь вы можете спокойно подумать об обновлении телефона с помощью пользовательской прошивки, так как ваши данные и EFS находятся в надежных руках.