bueno les dejo un resumen de mis avances en solitario: primero q intente accesar a los archivos tomando posecion de ellos y dandome acceso total pero esto no desbloquea el EFS q segun e investigado su unica vulnerabilidaad es en funcion de como borra windows los archivos puesto q para pasar un archivo a una carpeta encriptada este primero hace una copia de seguridad como temporal para posteriormente encriptarla solo q este archivo temporal queda fisicamente en el disco duro el asunto esta en q una carpeta q desde hace mucho a estado encriptada no pude vulnerarce asi.... asi q q investigue como funciona el sistema EFS y resulta q en su operacion se avanza por 6 pasos
1- obtiene el SystemKey del registro, disket o unidad de red
2- desencripta el password hash del user guardado en SAM register record
3- desencripta el master Key del user
4- desencripta el private Key del user
5- desencripta el file encryption Key del archivo
6- y por fin desencripta la informacion......
ahora bien, ya vi lo q es un hash y se q se le pueden sacar coliciones pero no se si en los demas procesos tambien utiliza el mismo sistema de desencriptacion por validacion de hash o que???
si me ayudaran con mi problemita les estaria sobremanera agradecido
otra cosa q quisiera probar es recuperar los certificados de Win pero no se en donde buscarlos ni q extencion o nombre tienen......
Zona-Musical
Autor