使用U盤(pán)、移動(dòng)硬盤(pán)加密工具加密文件夾后，我用文件嗅探器工具也看不到加密后真實(shí)的文件，當(dāng)用金山毒霸掃描發(fā)現(xiàn)，好像這些文件被隱藏保存在\Thumbs.dn\7.\中（其中那個(gè)7.中的7有時(shí)是其他的數(shù)字），但是我直接這樣還是不能進(jìn)入，所以我就特意對(duì)這款加密工具研究了一下，下面說(shuō)下我的一點(diǎn)心得。

我們先在D盤(pán)新建個(gè)文件夾如lskr，即地址為D:\lskr，在里面隨便放些文件，我放了大小分別為168KB和681KB的exe文件lskr1.exe和lskr2.exe，再將U盤(pán)加密工具綠色版（文件名為addpass.exe）放進(jìn)去，運(yùn)行這個(gè)addpass.exe，用密碼為123456加密后，前面兩個(gè)文件消失，只剩下addpass.exe這一個(gè)文件。

我們?cè)凇拔业碾娔X－工具－文件夾選項(xiàng)－查看”中勾選“顯示所有文件和文件夾”，又把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”前的勾去掉，勾上“顯示系統(tǒng)文件夾的內(nèi)容”，這時(shí)顯示出另兩個(gè)隱藏文件Thumbs.dn和desktop.ini，在desktop.ini中的內(nèi)容是：[.ShellClassInfo]InfoTip=文件夾 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下對(duì)我們好像沒(méi)用，不用管它，再看Thumbs.dn的大小有850KB，和那兩個(gè)文件的總大小差不多，不用懷疑，那兩個(gè)文件一定是隱藏在里面的，直接雙擊進(jìn)入Thumbs.dn，發(fā)現(xiàn)里面有個(gè)“添加打印機(jī)”和“Microsoft Office Document Image Writer”，并未發(fā)現(xiàn)我們尋找的文件，那兩個(gè)文件跑哪去了呢？

我們?cè)陂_(kāi)始-運(yùn)行-輸入cmd，確定后進(jìn)入MS-DOS，輸入“cd\”回車進(jìn)入C:，輸入“D:”回車進(jìn)入D:，輸入“cd d:\lskr\Thumbs.dn”進(jìn)入Thumbs.dn，再輸入“dir /a”，這時(shí)候我們發(fā)現(xiàn)里面有幾個(gè)文件：117789687，117789687LIST.men，1.mem，2.mem和desktop.ini，我們發(fā)現(xiàn)1.mem，2.mem的大小與最先放進(jìn)去的那兩個(gè)文件剛好差不多，所以他們應(yīng)該是加密后的自定義格式文件，我們直接將它們拷貝出來(lái)看，使用命令“copy 1.mem D:\”和“copy 2.mem D:\”將這兩個(gè)文件復(fù)制到D盤(pán)，再將它們的后綴由.mem改為.exe，這時(shí)我們驚奇的發(fā)現(xiàn)它們都恢復(fù)成本來(lái)的模樣，跟放進(jìn)去時(shí)的文件除文件名外都相同，看來(lái)這種所謂的U盤(pán)加密只是簡(jiǎn)單的改下后綴名，然后再隱藏一下而已。





但是雖然我們能找到加密過(guò)后的文件，下一步我們能不能破解那個(gè)加密的密碼呢？我們發(fā)現(xiàn)還有個(gè)文件117789687LIST.men，而這個(gè)文件很可能就是用來(lái)保存密碼的，使用命令“copy 117789687LIST.men D:\”和“start 117789687LIST.men”，都提示系統(tǒng)找不到指定的文件，這時(shí)我們使用“attrib 117789687LIST.mem -s -h -r”，刪除文件的shr屬性，再使用命令“start 117789687LIST.mem”，用文本文檔打開(kāi)，發(fā)現(xiàn)里面是一長(zhǎng)串的字符，原以為這就是密碼經(jīng)過(guò)加密過(guò)后的代碼，后來(lái)我又換了個(gè)密碼重新加密，發(fā)現(xiàn)里面代碼的內(nèi)容沒(méi)有改變，但當(dāng)我把需要加密的文件增多或減少時(shí)，里面的內(nèi)容隨之變化。

于是我猜想這應(yīng)該是存儲(chǔ)加密文件的文件名等信息的，我又看了另外個(gè)文件desktop.ini，里面內(nèi)容為[.ShellClassInfo] CLSID=，還有個(gè)文件117789687，內(nèi)容為343636303032，當(dāng)加密密碼改變時(shí)，這個(gè)代碼也隨之改變，如密碼換成123時(shí)，這個(gè)代碼變成343636，所以我判斷這個(gè)才是真正的密碼存儲(chǔ)文件，但是它使用的是什么加密方式，我就無(wú)從得知了。

但我們可以使用替換法解決問(wèn)題，如果我們忘記加密時(shí)的密碼或查看別人的加密文件時(shí)，就可以將我們知道密碼的加密代碼來(lái)替換這段代碼，于是就可用我們已知的密碼解密那個(gè)加密文件夾了，例如我們可以將上面的代碼343636303032替換其他加密文件的代碼后，這時(shí)解密密碼就變成123456。

這樣，我們的破解就告一段落，看來(lái)，這種加密根本就不是用加密算法對(duì)文件數(shù)據(jù)加密，而只是簡(jiǎn)單的將文件信息改個(gè)后綴名隱藏起來(lái)，使一般人不能輕易瀏覽文件內(nèi)容。這個(gè)軟件加密的時(shí)候，將自動(dòng)創(chuàng)建一個(gè)Thumbs.dn文件夾，將原文件變成以1，2，3...為文件名，以.mem的后綴的文件隱藏保存在Thumbs.dn文件夾內(nèi)，另外創(chuàng)建117789687LIST.men保存文件名和位置等信息，117789687保存密碼，并與U盤(pán)加密工具關(guān)聯(lián)，一旦再次雙擊那個(gè)工具以后，彈出對(duì)話框要求密碼確認(rèn)，如果密碼正確，就還原那些文件，否則就拒絕。

最新評(píng)論