EFS-暗号化されているものを調べる
Windows Vistaを起動して数日後、「暗号化ファイルシステム」(プロセスefsui.exeから取得)から証明書とキーのバックアップを求めるポップアップが表示されます。
このメッセージを表示するために何をしたのかわかりません(最後にインストールしたSWはGoogleデスクトップでした)。
今、私はどのディレクトリまたはファイルがEFSで暗号化されているのか疑問に思っています。見つける方法はありますか?
ご協力いただきありがとうございます。
このバッチファイルを使用してみることができます:
@echo off
cls
:: Set the varibles - Use Quotes "" if there are spaces in the source or log path
set log_path=C:\EFS_Find
:: Find Encrypted Files
cipher /s C:\ | findstr "^.E" >> %log_path%\found.txt && echo:Encrypted files found"
:: Find Hidden Files
attrib /s C:\ 2>nul | findstr "^....H" >> %log_path%\found.txt && echo:Hidden files found"
pause
このバッチファイルは、C:\ドライブをスキャンしてすべてのEFS暗号化ファイル(および隠しファイル)を探し、見つかったたびに画面にエコーし、見つかった暗号化ファイルのすべてのインスタンスをに記録しますC:\ EFS_Find\found.txt。
暗号化されたファイルだけを検索するコマンドラインアプローチの場合は、コマンドラインに次のように入力できます。
暗号/ s:C:\ | findstr "^ .E" >> C:\ efs_found.txt && echo:暗号化されたファイルが見つかりました "
これにより、C:\ドライブ全体で暗号化されたファイルが検索され、C:\ efs_found.txtにダンプされます。
見つかったソリューションから変更 ここ 。
VistaシステムでEFSを無効にするには、次のリンクを参照してください。
gsharpは正しく、ドライブC上のすべてのEFS暗号化ファイルを表示する構文は次のとおりです。
cipher /s:c:\ |findstr "^E"
パイプの文字に注意してください。これは通常、 \ キー。 findstrコマンド^E行の先頭でEを探します。また、/sの後にコロンとドライブ文字があり、すべてスペースがありません。
欠点は、ファイル名が返されるだけで、ディレクトリ構造が提供されないことです。
Win7ユーザーの場合:同じ問題が発生し(Macで準備されたZipファイルが送信され、何らかの理由で解凍時に暗号化されました)、EFSキーのバックアッププロンプトが表示され始めました。
cipher /s:c:\ |findstr "^E"
その亜種は情報を返しませんでした。
ただし、次の方法で暗号化されたディレクトリを見つけることができました。
cipher /u