高強度文件夾加密大師密碼破解與文件提取初探
發(fā)布時間:2018-07-02 來源: 感恩親情 點擊:
[摘 要]用“高強度文件夾加密大師”加密的文件和文件夾,具有隱蔽性好、保密性強的特點,在一定程度上能起到防止文件不被非授權人員訪問的作用。但這也帶來了一定的副作用,比如忘記密碼后,將無法再次打開文件,辛勤的勞動成果付諸東流,或者在偵查人員提取電子物證時,阻礙其獲得取證的權限,延誤案件的審理和審判,有時還會給用戶帶來巨大損失。本文簡介用WinRAR軟件、DEL.BAT批處理文件和Win Hex工具恢復用該加密軟件移動加密的文件或/和文件夾的方法。
[關鍵詞]高強度文件夾加密大師;文件恢復;移動加密;winhex;WinRAR軟件
中圖分類號:S603 文獻標識碼:A 文章編號:1009-914X(2018)24-0156-01
高強度文件夾加密大師對文件夾的加密方式分為三種,分別是本機加密、移動加密、隱藏加密,由于目前使用最普遍、恢復難度最大的方式是移動加密,本文將對移動加密的方式進行原理分析和并對文件恢復的步驟予以介紹。
1、高強度文件夾加密大師的原理
先建立A文件夾,然后把要加密的文件/文件夾放到A文件夾里頭,然后對A文件夾采用隱藏、重命名、加后綴等多種方式,達到偽裝的目的。通俗來講,原來加密的文件夾進行加密后在里面生成Thumbs.dn、!解密加密.exe、desktop.ini三個文件,desktop.ini是用來處理文件夾圖標的顯示;!解密加密.exe是一個脫殼的程序,可以脫離主程序運行。Thumbs.dn這個就是原來加密前文件夾內(nèi)文件的存放地。雙擊打開只能看到打印機的圖標顯示,通過使用壓縮工具winRAR將它進行加壓,打開生成的壓縮包,進入會看到desktop.ini、117789687LIST.mem、117789687、1.mem、1.mem、2.mem、3.mem、……x.mem,后面的幾個.mem文件就是原來加密前文件夾內(nèi)的文件。
2、高強度文件夾加密大師的登陸密碼破解
此款軟件會設置登錄密碼,關于次密碼的破解,具體參照如下步驟:
。1)在電腦上按下WINDOWS鍵加R,出現(xiàn)運行框之后輸入regedit,進入注冊表編輯器
。2)密碼保存在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\ ExeSoft\Strong]子項,在右邊窗口中有個名為E的鍵值項便用于保存運行密碼,密碼是經(jīng)過簡單字符轉(zhuǎn)換處理的,修改它的值,就可以改變運行密碼,清空它的值或刪除E鍵值項,運行密碼即被清除。
。3)由上圖可知E的鍵值打開后出現(xiàn)的密匙為:<42751,對應的密碼分別為806315,由此可以獲取其登陸密碼,進入下一步設置。
3.使用壓縮軟件對移動加密文件夾破解
移動加密的方式原理上文已經(jīng)提到,它首先會在加密文件夾中創(chuàng)建Thumbs.dn目錄和解密加密.exe、desktop.ini兩個文件,desktop.ini是用來處理文件夾的圖標顯示;解密加密.exe是一個脫殼程序,可脫離主程序運行。Thumbs.dn目錄就是加密文件存放地,但是它被偽裝成打印機文件夾了。筆者用此軟件加密了倆個記事本文件,在用WINRAR軟件打開之前,我們是看不到THUMBS目錄和desktop.ini文件的,,這是因為這倆個文件被系統(tǒng)所隱藏,按照如下方式進行操作,點擊查看------文件夾選項-------隱藏受保護的操作系統(tǒng)文件-------把√取消勾選,此時我們會看到隱藏的文件隨后我們用WinRAR軟件打開Thumbs.dn目錄,會看到以下文件:
desktop.ini117789687LIST.mem1177896871.mem2.mem
1.mem和2.mem兩個文件便是原來的加密文件,這里只是將文件擴展名改為mem。如果還記得原來的文件擴展名,將名字改回并刪除desktop.ini文件即可解密(如原來是1.doc,就把1.mem改成1.doc)。117789687LIST.mem文件用于保存加密的文件列表,當解密文件時,加密大師會從這里讀取加密文件列表以恢復被加密的文件。117789687文件用于保存加密密碼,密碼也是經(jīng)過簡單字符轉(zhuǎn)換處理的,我們可以修改這個文件來改變密碼。在密鑰前面有一個特殊符號,“&”或“-”,根據(jù)符號的不同,密鑰也分為兩組。如果是以“&”符號開頭,參考列表一,如果是以“-”符號開頭,參考列表二。,對此我們先打開117789687記事本,發(fā)現(xiàn)了密匙為37對應密碼為2,也就是我之前所設置的一位密碼,但不知為何“-”符號顯示為空白,處于段首的位置。這是其中的一種方法,通過密匙來對照密碼對文件予以破解,基于此我萌生了另一個想法就是把117789687的文件記事本予以替換,換成自己已知加密過的文件夾密碼,也就是說不用對照,也可以打開加密的文件,具體操作步驟如下:將壓縮文件中的記事本密匙替換為34,并保留初始空位(如果刪除則密匙無效),并把desktop文件重命名,之后再輸入已知的密碼1,即可解開所在的文件夾,可以看到所在的倆個記事本文檔。
4.利用批處理文件打開thumbs.dn
首先作個批處理文件
DEL.BAT:del?Thumbs.dn\desktop.ini/f/s/q/a
復制這個命令到記事本,選擇文件→另存為:保存類型選擇所有類型,文件名為del.bat讓此文件與解密EXE程序在同一目錄運行,雙擊打開之后,發(fā)現(xiàn)文檔thumbs.dn可以打開,,之后便可以提取117789687記事本中的密匙,或者我們可以直接在文檔里修改密匙值,替換為我們自己想要的密碼,也可以打開文件夾。這種方法需要對DEL指令有一定的了解,/P刪除每一個文件之前提示確認,/F強制刪除只讀文件,/S從所有子目錄刪除指定文件。
5.總結
高強度文件夾加密大師這款軟件通過隱藏與重命名以及偽裝成打印機的方式,對文件的內(nèi)容予以保護,而上訴的幾種方法則為密碼破解與文件恢復提供了途徑,實際操作性很強,較為實用,有一定的參考價值。
參考文獻
[1] 戴士劍,陳永紅.數(shù)據(jù)恢復技術[M].北京:電子工業(yè)出版社,2003
[2] KruseIIWG,HeiserJG.計算機取證:應急相應精要[M].段海新等譯.北京:人民郵電出版社,2003.
熱點文章閱讀