论文部分内容阅读
[摘 要]用“高强度文件夹加密大师”加密的文件和文件夹,具有隐蔽性好、保密性强的特点,在一定程度上能起到防止文件不被非授权人员访问的作用。但这也带来了一定的副作用,比如忘记密码后,将无法再次打开文件,辛勤的劳动成果付诸东流,或者在侦查人员提取电子物证时,阻碍其获得取证的权限,延误案件的审理和审判,有时还会给用户带来巨大损失。本文简介用WinRAR软件、DEL.BAT批处理文件和Win Hex工具恢复用该加密软件移动加密的文件或/和文件夹的方法。
[关键词]高强度文件夹加密大师;文件恢复;移动加密;winhex;WinRAR软件
中图分类号:S603 文献标识码:A 文章编号:1009-914X(2018)24-0156-01
高强度文件夹加密大师对文件夹的加密方式分为三种,分别是本机加密、移动加密、隐藏加密,由于目前使用最普遍、恢复难度最大的方式是移动加密,本文将对移动加密的方式进行原理分析和并对文件恢复的步骤予以介绍。
1、高强度文件夹加密大师的原理
先建立A文件夹,然后把要加密的文件/文件夹放到A文件夹里头,然后对A文件夹采用隐藏、重命名、加后缀等多种方式,达到伪装的目的。通俗来讲,原来加密的文件夹进行加密后在里面生成Thumbs.dn、!解密加密.exe、desktop.ini三个文件,desktop.ini是用来处理文件夹图标的显示;!解密加密.exe是一个脱壳的程序,可以脱离主程序运行。Thumbs.dn这个就是原来加密前文件夹内文件的存放地。双击打开只能看到打印机的图标显示,通过使用压缩工具winRAR将它进行加压,打开生成的压缩包,进入会看到desktop.ini、117789687LIST.mem、117789687、1.mem、1.mem、2.mem、3.mem、……x.mem,后面的几个.mem文件就是原来加密前文件夹内的文件。
2、高强度文件夹加密大师的登陆密码破解
此款软件会设置登录密码,关于次密码的破解,具体参照如下步骤:
(1)在电脑上按下WINDOWS键加R,出现运行框之后输入regedit,进入注册表编辑器
(2)密码保存在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\ ExeSoft\Strong]子项,在右边窗口中有个名为E的键值项便用于保存运行密码,密码是经过简单字符转换处理的,修改它的值,就可以改变运行密码,清空它的值或删除E键值项,运行密码即被清除。
(3)由上图可知E的键值打开后出现的密匙为:<42751,对应的密码分别为806315,由此可以获取其登陆密码,进入下一步设置。
3.使用压缩软件对移动加密文件夹破解
移动加密的方式原理上文已经提到,它首先会在加密文件夹中创建Thumbs.dn目录和解密加密.exe、desktop.ini两个文件,desktop.ini是用来处理文件夹的图标显示;解密加密.exe是一个脱壳程序,可脱离主程序运行。Thumbs.dn目录就是加密文件存放地,但是它被伪装成打印机文件夹了。笔者用此软件加密了俩个记事本文件,在用WINRAR软件打开之前,我们是看不到THUMBS目录和desktop.ini文件的,,这是因为这俩个文件被系统所隐藏,按照如下方式进行操作,点击查看------文件夹选项-------隐藏受保护的操作系统文件-------把√取消勾选,此时我们会看到隐藏的文件随后我们用WinRAR软件打开Thumbs.dn目录,会看到以下文件:
desktop.ini117789687LIST.mem1177896871.mem2.mem
1.mem和2.mem兩个文件便是原来的加密文件,这里只是将文件扩展名改为mem。如果还记得原来的文件扩展名,将名字改回并删除desktop.ini文件即可解密(如原来是1.doc,就把1.mem改成1.doc)。117789687LIST.mem文件用于保存加密的文件列表,当解密文件时,加密大师会从这里读取加密文件列表以恢复被加密的文件。117789687文件用于保存加密密码,密码也是经过简单字符转换处理的,我们可以修改这个文件来改变密码。在密钥前面有一个特殊符号,“&”或“-”,根据符号的不同,密钥也分为两组。如果是以“&”符号开头,参考列表一,如果是以“-”符号开头,参考列表二。,对此我们先打开117789687记事本,发现了密匙为37对应密码为2,也就是我之前所设置的一位密码,但不知为何“-”符号显示为空白,处于段首的位置。这是其中的一种方法,通过密匙来对照密码对文件予以破解,基于此我萌生了另一个想法就是把117789687的文件记事本予以替换,换成自己已知加密过的文件夹密码,也就是说不用对照,也可以打开加密的文件,具体操作步骤如下:将压缩文件中的记事本密匙替换为34,并保留初始空位(如果删除则密匙无效),并把desktop文件重命名,之后再输入已知的密码1,即可解开所在的文件夹,可以看到所在的俩个记事本文档。
4.利用批处理文件打开thumbs.dn
首先作个批处理文件
DEL.BAT:del?Thumbs.dn\desktop.ini/f/s/q/a
复制这个命令到记事本,选择文件→另存为:保存类型选择所有类型,文件名为del.bat让此文件与解密EXE程序在同一目录运行,双击打开之后,发现文档thumbs.dn可以打开,,之后便可以提取117789687记事本中的密匙,或者我们可以直接在文档里修改密匙值,替换为我们自己想要的密码,也可以打开文件夹。这种方法需要对DEL指令有一定的了解,/P删除每一个文件之前提示确认,/F强制删除只读文件,/S从所有子目录删除指定文件。
5.总结
高强度文件夹加密大师这款软件通过隐藏与重命名以及伪装成打印机的方式,对文件的内容予以保护,而上诉的几种方法则为密码破解与文件恢复提供了途径,实际操作性很强,较为实用,有一定的参考价值。
参考文献
[1] 戴士剑,陈永红.数据恢复技术[M].北京:电子工业出版社,2003
[2] KruseIIWG,HeiserJG.计算机取证:应急相应精要[M].段海新等译.北京:人民邮电出版社,2003.
[关键词]高强度文件夹加密大师;文件恢复;移动加密;winhex;WinRAR软件
中图分类号:S603 文献标识码:A 文章编号:1009-914X(2018)24-0156-01
高强度文件夹加密大师对文件夹的加密方式分为三种,分别是本机加密、移动加密、隐藏加密,由于目前使用最普遍、恢复难度最大的方式是移动加密,本文将对移动加密的方式进行原理分析和并对文件恢复的步骤予以介绍。
1、高强度文件夹加密大师的原理
先建立A文件夹,然后把要加密的文件/文件夹放到A文件夹里头,然后对A文件夹采用隐藏、重命名、加后缀等多种方式,达到伪装的目的。通俗来讲,原来加密的文件夹进行加密后在里面生成Thumbs.dn、!解密加密.exe、desktop.ini三个文件,desktop.ini是用来处理文件夹图标的显示;!解密加密.exe是一个脱壳的程序,可以脱离主程序运行。Thumbs.dn这个就是原来加密前文件夹内文件的存放地。双击打开只能看到打印机的图标显示,通过使用压缩工具winRAR将它进行加压,打开生成的压缩包,进入会看到desktop.ini、117789687LIST.mem、117789687、1.mem、1.mem、2.mem、3.mem、……x.mem,后面的几个.mem文件就是原来加密前文件夹内的文件。
2、高强度文件夹加密大师的登陆密码破解
此款软件会设置登录密码,关于次密码的破解,具体参照如下步骤:
(1)在电脑上按下WINDOWS键加R,出现运行框之后输入regedit,进入注册表编辑器
(2)密码保存在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\ ExeSoft\Strong]子项,在右边窗口中有个名为E的键值项便用于保存运行密码,密码是经过简单字符转换处理的,修改它的值,就可以改变运行密码,清空它的值或删除E键值项,运行密码即被清除。
(3)由上图可知E的键值打开后出现的密匙为:<42751,对应的密码分别为806315,由此可以获取其登陆密码,进入下一步设置。
3.使用压缩软件对移动加密文件夹破解
移动加密的方式原理上文已经提到,它首先会在加密文件夹中创建Thumbs.dn目录和解密加密.exe、desktop.ini两个文件,desktop.ini是用来处理文件夹的图标显示;解密加密.exe是一个脱壳程序,可脱离主程序运行。Thumbs.dn目录就是加密文件存放地,但是它被伪装成打印机文件夹了。笔者用此软件加密了俩个记事本文件,在用WINRAR软件打开之前,我们是看不到THUMBS目录和desktop.ini文件的,,这是因为这俩个文件被系统所隐藏,按照如下方式进行操作,点击查看------文件夹选项-------隐藏受保护的操作系统文件-------把√取消勾选,此时我们会看到隐藏的文件随后我们用WinRAR软件打开Thumbs.dn目录,会看到以下文件:
desktop.ini117789687LIST.mem1177896871.mem2.mem
1.mem和2.mem兩个文件便是原来的加密文件,这里只是将文件扩展名改为mem。如果还记得原来的文件扩展名,将名字改回并删除desktop.ini文件即可解密(如原来是1.doc,就把1.mem改成1.doc)。117789687LIST.mem文件用于保存加密的文件列表,当解密文件时,加密大师会从这里读取加密文件列表以恢复被加密的文件。117789687文件用于保存加密密码,密码也是经过简单字符转换处理的,我们可以修改这个文件来改变密码。在密钥前面有一个特殊符号,“&”或“-”,根据符号的不同,密钥也分为两组。如果是以“&”符号开头,参考列表一,如果是以“-”符号开头,参考列表二。,对此我们先打开117789687记事本,发现了密匙为37对应密码为2,也就是我之前所设置的一位密码,但不知为何“-”符号显示为空白,处于段首的位置。这是其中的一种方法,通过密匙来对照密码对文件予以破解,基于此我萌生了另一个想法就是把117789687的文件记事本予以替换,换成自己已知加密过的文件夹密码,也就是说不用对照,也可以打开加密的文件,具体操作步骤如下:将压缩文件中的记事本密匙替换为34,并保留初始空位(如果删除则密匙无效),并把desktop文件重命名,之后再输入已知的密码1,即可解开所在的文件夹,可以看到所在的俩个记事本文档。
4.利用批处理文件打开thumbs.dn
首先作个批处理文件
DEL.BAT:del?Thumbs.dn\desktop.ini/f/s/q/a
复制这个命令到记事本,选择文件→另存为:保存类型选择所有类型,文件名为del.bat让此文件与解密EXE程序在同一目录运行,双击打开之后,发现文档thumbs.dn可以打开,,之后便可以提取117789687记事本中的密匙,或者我们可以直接在文档里修改密匙值,替换为我们自己想要的密码,也可以打开文件夹。这种方法需要对DEL指令有一定的了解,/P删除每一个文件之前提示确认,/F强制删除只读文件,/S从所有子目录删除指定文件。
5.总结
高强度文件夹加密大师这款软件通过隐藏与重命名以及伪装成打印机的方式,对文件的内容予以保护,而上诉的几种方法则为密码破解与文件恢复提供了途径,实际操作性很强,较为实用,有一定的参考价值。
参考文献
[1] 戴士剑,陈永红.数据恢复技术[M].北京:电子工业出版社,2003
[2] KruseIIWG,HeiserJG.计算机取证:应急相应精要[M].段海新等译.北京:人民邮电出版社,2003.