安全危機破解U盤加密工具的加密方法原理

互聯(lián)網(wǎng) 發(fā)布時間：2008-10-08 19:02:53 作者：佚名

使用U盤、移動硬盤加密工具加密文件夾后，我用文件嗅探器工具也看不到加密后真實的文件，當用金山毒霸掃描發(fā)現(xiàn)，好像這些文件被隱藏保存在Thumbs.dn7.中（其中那個7.中的7有時是其他的數(shù)字），但是我直接這樣還是不能進入，所以我就特意對這款加密工具研究了一下

使用U盤、移動硬盤加密工具加密文件夾后，我用文件嗅探器工具也看不到加密后真實的文件，當用金山毒霸掃描發(fā)現(xiàn)，好像這些文件被隱藏保存在\Thumbs.dn\7.\中（其中那個7.中的7有時是其他的數(shù)字），但是我直接這樣還是不能進入，所以我就特意對這款加密工具研究了一下，下面說下我的一點心得。

我們先在D盤新建個文件夾如lskr，即地址為D:\lskr，在里面隨便放些文件，我放了大小分別為168KB和681KB的exe文件lskr1.exe和lskr2.exe，再將U盤加密工具綠色版（文件名為addpass.exe）放進去，運行這個addpass.exe，用密碼為123456加密后，前面兩個文件消失，只剩下addpass.exe這一個文件。

我們在“我的電腦－工具－文件夾選項－查看”中勾選“顯示所有文件和文件夾”，又把“隱藏受保護的操作系統(tǒng)文件（推薦）”前的勾去掉，勾上“顯示系統(tǒng)文件夾的內(nèi)容”，這時顯示出另兩個隱藏文件Thumbs.dn和desktop.ini，在desktop.ini中的內(nèi)容是：[.ShellClassInfo]InfoTip=文件夾 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下對我們好像沒用，不用管它，再看Thumbs.dn的大小有850KB，和那兩個文件的總大小差不多，不用懷疑，那兩個文件一定是隱藏在里面的，直接雙擊進入Thumbs.dn，發(fā)現(xiàn)里面有個“添加打印機”和“Microsoft Office Document Image Writer”，并未發(fā)現(xiàn)我們尋找的文件，那兩個文件跑哪去了呢？

我們在開始-運行-輸入cmd，確定后進入MS-DOS，輸入“cd\”回車進入C:，輸入“D:”回車進入D:，輸入“cd d:\lskr\Thumbs.dn”進入Thumbs.dn，再輸入“dir /a”，這時候我們發(fā)現(xiàn)里面有幾個文件：117789687，117789687LIST.men，1.mem，2.mem和desktop.ini，我們發(fā)現(xiàn)1.mem，2.mem的大小與最先放進去的那兩個文件剛好差不多，所以他們應(yīng)該是加密后的自定義格式文件，我們直接將它們拷貝出來看，使用命令“copy 1.mem D:\”和“copy 2.mem D:\”將這兩個文件復制到D盤，再將它們的后綴由.mem改為.exe，這時我們驚奇的發(fā)現(xiàn)它們都恢復成本來的模樣，跟放進去時的文件除文件名外都相同，看來這種所謂的U盤加密只是簡單的改下后綴名，然后再隱藏一下而已。

點擊這里用新窗口瀏覽圖片

但是雖然我們能找到加密過后的文件，下一步我們能不能破解那個加密的密碼呢？我們發(fā)現(xiàn)還有個文件117789687LIST.men，而這個文件很可能就是用來保存密碼的，使用命令“copy 117789687LIST.men D:\”和“start 117789687LIST.men”，都提示系統(tǒng)找不到指定的文件，這時我們使用“attrib 117789687LIST.mem -s -h -r”，刪除文件的shr屬性，再使用命令“start 117789687LIST.mem”，用文本文檔打開，發(fā)現(xiàn)里面是一長串的字符，原以為這就是密碼經(jīng)過加密過后的代碼，后來我又換了個密碼重新加密，發(fā)現(xiàn)里面代碼的內(nèi)容沒有改變，但當我把需要加密的文件增多或減少時，里面的內(nèi)容隨之變化。

于是我猜想這應(yīng)該是存儲加密文件的文件名等信息的，我又看了另外個文件desktop.ini，里面內(nèi)容為[.ShellClassInfo] CLSID=，還有個文件117789687，內(nèi)容為343636303032，當加密密碼改變時，這個代碼也隨之改變，如密碼換成123時，這個代碼變成343636，所以我判斷這個才是真正的密碼存儲文件，但是它使用的是什么加密方式，我就無從得知了。

但我們可以使用替換法解決問題，如果我們忘記加密時的密碼或查看別人的加密文件時，就可以將我們知道密碼的加密代碼來替換這段代碼，于是就可用我們已知的密碼解密那個加密文件夾了，例如我們可以將上面的代碼343636303032替換其他加密文件的代碼后，這時解密密碼就變成123456。

這樣，我們的破解就告一段落，看來，這種加密根本就不是用加密算法對文件數(shù)據(jù)加密，而只是簡單的將文件信息改個后綴名隱藏起來，使一般人不能輕易瀏覽文件內(nèi)容。這個軟件加密的時候，將自動創(chuàng)建一個Thumbs.dn文件夾，將原文件變成以1，2，3...為文件名，以.mem的后綴的文件隱藏保存在Thumbs.dn文件夾內(nèi)，另外創(chuàng)建117789687LIST.men保存文件名和位置等信息，117789687保存密碼，并與U盤加密工具關(guān)聯(lián)，一旦再次雙擊那個工具以后，彈出對話框要求密碼確認，如果密碼正確，就還原那些文件，否則就拒絕。