使用U盘、移动硬盘加密工具加密文件夹后,我用文件嗅探器工具也看不到加密后真实的文件,当用金山毒霸扫描发现,好像这些文件被隐藏保存在Thumbs.dn .中(其中那个7.中的7有时是其他的数字),但是我直接这样还是不能进入,所以我就特意对这款加密工具研究了一下,下面说下我的一点心得。

  我们先在D盘新建个文件夹如lskr,即地址为D:lskr,在里面随便放些文件,我放了大小分别为168KB和681KB的exe文件lskr1.exe和lskr2.exe,再将U盘加密工具绿色版(文件名为addpass.exe)放进去,运行这个addpass.exe,用密码为123456加密后,前面两个文件消失,只剩下addpass.exe这一个文件。
  我们在“我的电脑-工具-文件夹选项-查看”中勾选“显示所有文件和文件夹”,又把“隐藏受保护的操作系统文件(推荐)”前的勾去掉,勾上“显示系统文件夹的内容”,这时显示出另两个隐藏文件Thumbs.dn和desktop.ini,在desktop.ini中的内容是:[.ShellClassInfo]InfoTip=文件夹 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下对我们好像没用,不用管它,再看Thumbs.dn的大小有850KB,和那两个文件的总大小差不多,不用怀疑,那两个文件一定是隐藏在里面的,直接双击进入Thumbs.dn,发现里面有个“添加打印机”和“Microsoft Office Document Image Writer”,并未发现我们寻找的文件,那两个文件跑哪去了呢?
 

  我们在开始-运行-输入cmd,确定后进入MS-DOS,输入“cd\”回车进入C:,输入“D:”回车进入D:,输入“cd d:\lskr\Thumbs.dn”进入Thumbs.dn,再输入“dir /a”,这时候我们发现里面有几个文件:117789687,117789687LIST.men,1.mem,2.mem和desktop.ini,我们发现1.mem,2.mem的大小与最先放进去的那两个文件刚好差不多,所以他们应该是加密后的自定义格式文件,我们直接将它们拷贝出来看,使用命令“copy 1.mem D:\”和“copy 2.mem D:\”将这两个文件复制到D盘,再将它们的后缀由.mem改为.exe,这时我们惊奇的发现它们都恢复成本来的模样,跟放进去时的文件除文件名外都相同,看来这种所谓的U盘加密只是简单的改下后缀名,然后再隐藏一下而已。
 
      但是虽然我们能找到加密过后的文件,下一步我们能不能破解那个加密的密码呢?我们发现还有个文件117789687LIST.men,而这个文件很可能就是用来保存密码的,使用命令“copy 117789687LIST.men D:\”和“start 117789687LIST.men”,都提示系统找不到指定的文件,这时我们使用“attrib 117789687LIST.mem -s -h -r”,删除文件的shr属性,再使用命令“start 117789687LIST.mem”,用文本文档打开,发现里面是一长串的字符,原以为这就是密码经过加密过后的代码,后来我又换了个密码重新加密,发现里面代码的内容没有改变,但当我把需要加密的文件增多或减少时,里面的内容随之变化。

  于是我猜想这应该是存储加密文件的文件名等信息的,我又看了另外个文件desktop.ini,里面内容为[.ShellClassInfo] CLSID=,还有个文件117789687,内容为 343636303032,当加密密码改变时,这个代码也随之改变,如密码换成123时,这个代码变成 343636,所以我判断这个才是真正的密码存储文件,但是它使用的是什么加密方式,我就无从得知了。

  但我们可以使用替换法解决问题,如果我们忘记加密时的密码或查看别人的加密文件时,就可以将我们知道密码的加密代码来替换这段代码,于是就可用我们已知的密码解密那个加密文件夹了,例如我们可以将上面的代码 343636303032替换其他加密文件的代码后,这时解密密码就变成123456。

  这样,我们的破解就告一段落,看来,这种加密根本就不是用加密算法对文件数据加密,而只是简单的将文件信息改个后缀名隐藏起来,使一般人不能轻易浏览文件内容。这个软件加密的时候,将自动创建一个Thumbs.dn文件夹,将原文件变成以1,2,3...为文件名,以.mem的后缀的文件隐藏保存在Thumbs.dn文件夹内,另外创建117789687LIST.men保存文件名和位置等信息,117789687保存密码,并与U盘加密工具关联,一旦再次双击那个工具以后,弹出对话框要求密码确认,如果密码正确,就还原那些文件,否则就拒绝。 (出处:清风网络学院)
-----------------------------------------------------------------------------------------
再破U盘加密工具



  我前面写过一篇关于U盘加密的,题目叫“破解U盘加密工具的加密原理”,地址在: http://forum.clwind.com/read.php?tid=103697,在文章中,我使用一些DOS命令对U盘加密工具进行了初步的接触,发现这个软件加密时,将自动创建一个名为Thumbs.dn的文件夹,将原文件变成以1,2,3...为文件名,以.mem为后缀的文件隐藏保存在其中,另外创建117789687LIST.men保存文件名和位置等信息,117789687保存密码,并与U盘加密工具关联。

  后来我在龙族发现与此软件有关的另一篇文章,他是用WinRAR或WinZip将已加密的文件夹进行压缩,这样里面的原始文件就全部现形,再解压出来将后缀名由men改成原本的后缀。这个方法的确很方便地破解了U盘加密工具,但是局限性也很明显,如果加密的文件夹很大,达到几个G以上,采用这个方法的话反倒有些麻烦。

  其实我们所采用的方法都没能完全解决U盘加密的一些问题,比如原始加密密码,我在上篇文章中是使用已知密码的代码去替换需要破解的代码,但这样很麻烦,实用性也不大,另外当我们得到那些后缀名为men文件进行还原时,我们怎么知道它本身后缀是什么呢,不可能一个个后缀试吧。还有就是desktop.ini里的设置,以及那长串代码{2227a280-3aea-1069-a2de-08002b30309d}究竟代表什么意思,我在这里简约介绍下。

  在使用U盘加密工具加密文件夹后,会在这个文件夹内留下两个隐藏文件Thumbs.dn和desktop.ini,其中esktop.ini中的内容为“[.ShellClassInfo]InfoTip=文件夹 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1”。“[.ShellClassInfo]”代表这是文件夹的图标设置;“InfoTip=文件夹” 表示当鼠标指向该文件夹时所显示的说明文字为“文件夹”;“IconIndex=2” 表示使用指定文件的第2个图标;“IconFile=addpass.exe” 指其中addpass.exe是可执行文件,采用的是相对路径;“ConfirmFileOp=1”代表对移动或删除该文件夹时提示“你所删除的文件是系统文件”。而Thumbs.dn文件夹,外表上看是一个打印机图标,打开它和在控制面板中打开“打印机”毫无二致,而文件夹里原有的内容却不会显示出来,也就是说,它是把它伪装成打印机达到隐藏的目的,而打印机的ID正好是{2227A280-3AEA-1069-A2DE-08002B30309D},所以这个文件夹真正的名称该为Thumbs.dn.{2227a280-3aea-1069-a2de-08002b30309d},但直接输入这个路径仍是打不开的。

  下面我将试着破下U盘加密工具的加密密码,我在软件破解方面是一个名副其实如假包换的小菜鸟,刚接触相关知识才两天,对汇编语言也只认识几个基本命令,也只能破解那种最简单的软件,所以我在这里说破解真的是班门弄斧,耻笑于大方之家,下面的内容只适合比我更菜的人阅读(说白了,也只有对此一窍不通的人了),高手们请飘过哈,不要取笑我~~~

  我不知道有没有其他人破过这个工具,管他的,先我们还是用PEiD 0.94查壳,得知加壳方式为UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo [Overlay],本来对此脱壳工具很多,如Unaspack,Caspr,ProcDump等,但我还是使用手工脱壳以此练下手,我采用圣人教程中教的ESP定律脱壳方法,用OllyICE v1.10载入工具(到底什么时候该用OD,什么时候用OC,他们的区别我现在也没弄清楚),提示代码被压缩问是否继续,选择否
  004E57A0 > 60       pushad
  直接点F8单步步过
  004E57A1  BE 00604900  mov  esi, 00496000
  这时发现右边ESP和EIP同时变红,复制ESP地址0012FFA4,在左下角的Commanc中输入dd 0012FFA4,回车,在数值下面单击右键-断点-硬件访问-WORD,按F9运行来到断点
  004E590B ^\E9 1486FCFF  jmp  004ADF24
  再F8单步步过,一个大跳转就来到了程序的OEP
  004ADF24  55       push  ebp
  单击右键-Dump debugged process-复制程序的入口地址ADF24,保存为ADF24.exe
  再使用PEiD查壳,为Borland Delphi 6.0 - 7.0,呵呵,成功脱壳,发现文件大小原来是406KB,脱壳后大小变为0.99MB,看来这就是所谓的压缩壳吧(又要被你们取笑了撒)

  用OC加载脱壳的ADF24.exe
  004ADF24 > $ 55      push  ebp               ; (initial cpu selection)
  单击右键-Ultra string Reference-1 find ASCII,发现有这些关键字
  004AD4AA mov  edx, 004AD824              临时解密成功    
  004AD4AF mov  eax, 004AD84C          temporary unlock successful
  004AD526 mov  edx, 004AD870              解密成功    
  004AD52B mov  eax, 004AD894          unlock successful
  004AD555 mov  edx, 004AD8B0          密码错误!
  004AD55A mov  eax, 004AD8C4          password wrong
  在密码错误这行点跟随来到主窗口,现在就是找下断点,这对于我这个菜鸟来说就成很大问题了,一个个调试自认为有可疑的地方,都以失败而告终,正当准备偃旗息鼓之时,突然注意到上面几个关键字的下面都有这样的内容
  004AD526 . BA 70D84A00 mov  edx, 004AD870          ;     解密成功    
  004AD52B . B8 94D84A00 mov  eax, 004AD894          ; unlock successful
  004AD530 . E8 27E4FFFF call  004AB95C
  004AD535 . 50      push  eax
  004AD536 . 8B45 FC   mov  eax, dword ptr [ebp-4]
  004AD539 . E8 DA8EF9FF call  00446418
  004AD53E . 50      push  eax               ; |hOwner
  004AD53F . E8 A89FF5FF call      ; \MessageBoxA
  注意到MessageBoxA,很可疑,我右键点跟随
  004074EC - FF25 C0154B00 jmp  dword ptr [<&USER32.MessageBoxA>>; USER32.MessageBoxA
  按F2断点后,再按F9运行程序,弹出工具移动解密窗口,我输入假密码:123456789(加密时的密码为fengyunqiang),点解密
  这时堆栈友好提示,提示内容还不少,仔细跟踪,终于发现了关键
  0012FD24 00DF9B6C ASCII "123456789"
  0012FD28 00E0BAF8 ASCII "123456789"
  0012FD2C 00E089A4
  0012FD30 00E0776C ASCII 02,"63"
  0012FD34 00DFDF70 ASCII "fengyunqiang"
  0012FD38 00DF46C0 ASCII "fengyunqiang"
  哈哈,密码不是出来了,终于可以松口气了(高手们又要笑我了,反正都写完了,就让你们笑吧)
  至于这些代码的意思,我现在还看不大懂,密码破解机暂时也不知怎么写
  好了,以我现在能力,也只能做到这步了,期待有高手写个密码破解的工具出来.
-------------------------------------
小议U盘加密软件的破解
网上流行了很多的U盘加密软件,神秘文件夹、U盘超级加密。。。还有很多山寨加密工具,它们的加密原理都是一样的:创建畸形文件夹,移动文件到畸形文件夹,达到所谓“加密的目的”,Windows中虽然识破不了,在CMD中一切都显形,有些软件采用了非标准的文件夹名,那么就要使用 8.3命名规则查看文件,命令:dir /s /x ,在DOS下使用常规的cd 、dir 、copy就可以应付。
        更傻瓜化的破解方法就是用工具,比如使用一些安全工具 冰刃、wsyscheck、Malware Defender的文件管理功能就可以查看被隐藏的文件。更另类点,使用数据恢复软件,如FinalData、EasyRecovery等数据恢复软件也可以轻松找到隐藏文件。还有就是使用数据备份工具,如Ghost把U盘保存为镜像,使用Ghost Explorer打开镜像,就可以看到文件了
以上方法通杀网上流行的U盘数据加密软件.