[FAQトップ] [EnCase FAQ] [全般 FAQ] [その他] [Ji2 Home][Forensics]

文書番号:EF_V_017 

最終更新日:2010/08/30 

質問:

EDSモジュールでEFSを復号するのに必要となるファイル

回答:

EnCase の EDS モジュールを利用し、NTFS の EFS 暗号化を利用したファイルを復号するには、対象となる暗号化されたファイルとストリームの他に、下記フォルダ配下にあるシステム関連ファイル等が別途必要になります。
ターゲットを絞った保全などを行なう場合に、EFS で暗号化されたファイルを後から解除するには、下記パス配下にあるそれぞれのファイルを取得しておくと、その後の解除が楽になります。

パスの表記は EnCase の Grep パターンを利用
■Windows XP
WINDOWS\\system32\\config\\SAM
WINDOWS\\system32\\config\\SECURITY
WINDOWS\\system32\\config\\SOFTWARE
WINDOWS\\system32\\config\\SYSTEM
Documents and Settings\\.+\\Application Data\\Microsoft\\Crypto
Documents and Settings\\.+\\Application Data\\Microsoft\\Protect
Documents and Settings\\.+\\Application Data\\Microsoft\\SystemCertificates
Documents and Settings\\.+\\NTUSER.DAT

■Windows Vista / 7
WINDOWS\\system32\\config\\SAM
WINDOWS\\system32\\config\\SECURITY
WINDOWS\\system32\\config\\SOFTWARE
WINDOWS\\system32\\config\\SYSTEM
Users\\.+\\AppData\\Roaming\\Microsoft\\Crypto
Users\\.+\\AppData\\Roaming\\Microsoft\\Protect
Users\\.+\\AppData\\Roaming\\Microsoft\\SystemCertificates
Users\\.+\\NTUSER.DAT

関連URL:

 

本文書(Forensics FAQ)に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。株式会社Ji2は、市場性および特定の目的への適合性を含めて明示的にも黙示的にも一切の保証をいたしません。株式会社Ji2は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。株式会社Ji2及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責 条項の範囲を狭めるものではありません。株式会社Ji2は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合があります。

Copyright (C) 2010 Ji2.Inc. All Rights Reserved.