EFSDump – Analizzare i File Crittografati su Windows

EFSDump è uno strumento eseguibile da linea di comando che permette di analizzare i file di Windows crittografati.

La sintassi è molto semplice

efsdump [-s] <percorso>

L’opzione -s permette di effettuare una ricerca ricorsiva a partire dalla directory che si specifica.

 

Una volta lanciato EFSDump ricerca tutti i file specificati e quando li trova mostra due tipi di informazioni

Data Decryption Field (DDF) – Elenca gli utenti che sono autorizzati a decodificare il file

Data  Recover Field (DRF) – Visualizza gli utenti che sono configurati come Data Recovery Agents per il file specificato.

 

C:\>efsdump -s c:\*.txt

 

EFS Information Dumper v1.02

Copyright (C) 1999 Mark Russinovich

Systems Internals – http://www.sysinternals.com

 

c:\prova.txt:

DDF Entry:

PROVA\user1:

user1(user1@PROVA)

DRF Entry:

Administrator:

Administrator

Utilizzare EFSDump è quindi molto semplice e permette di ottenere informazioni utili su un file crittografato presente su Windows.

Tramite queste informazioni è possibile capire meglio la proveniente del file e chi lo ha creato. EFSDump è uno strumento gratis e quindi il consiglio è quello di scaricarlo per averlo a disposizione quando si ha la necessità di eseguire un controllo di questo tipo.