Program EFSDump umożliwia wyświetlenie informacji na temat użytkowników, którzy mają dostęp do zaszyfrowanych plików bądź katalogów, poprzez zastosowanie interfejsu API QueryUsersOnEncryptedFile, który manipuluje danymi zakodowanymi algorytmem EFS. Interfejs ten odczytuje informacje z pól powiązanych bezpośrednio z EFS. Każdy zaszyfrowany plik systemu NTFS posiada w swym nagłówku odpowiedzialnym za kodowanie dwa rodzaje takich pól: DDF oraz DRF. Pierwsze z nich: DDF (ang. Data Decryption Fields) gromadzi klucze szyfrowania, czyli FEK (ang. File Encryption Key), zaszyfrowane kluczem publicznym użytkownika. Pole DRF (ang. Data Recovery Fields) służy natomiast do przechowywania klucza FEK, który został zaszyfrowany przez publiczne klucze agentów odzyskiwania.
Praca z EFSDump
Narzędzie EFSDump obsługujemy poprzez Wiersz polecenia, wprowadzając główną komendę apletu:
efsdump.exe [-s] [-q] [plik lub katalog]
Parametrami określającymi pracę narzędzia są:
- -s - przeszukuje podkatalogi,
- -q - nie wyświetla błędów związanych z użytkowaniem aplikacji.
Sprawdźmy więc jak uwidocznić użytkowników. Aby tego dokonać wchodzimy w menu Start, następnie Wszystkie programy, przechodzimy do Akcesoria i wybieramy Wiersz polecenia (nie zapomnijmy o uruchomieniu programu z prawami administratora). W konsoli Wiersza polecenia przechodzimy do katalogu zawierającego program EFSDump. Poleceniem cd
poruszamy się pomiędzy poszczególnymi folderami. Gdy znajdziemy się w odpowiednim zbiorze, wpisujemy komendę programu oraz podajemy pełną ścieżkę dostępu do pliku bądź folderu, który chcemy poddać procesowi. Swój wybór zatwierdzamy klawiszem Enter.