首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]文件夹加密超级大师软件的脆弱加密分析
发表于: 2010-3-31 20:04 12380

[原创]文件夹加密超级大师软件的脆弱加密分析

liukeblue 活跃值
7
2010-3-31 20:04
12380

文件夹超级加密大师(版本:15, 9, 3, 0)是一种常用的加密软件,很多人在使用,但是常常看到有人因为丢失密码,而再找破解方法,因为如果找该软件的公司破解的话,它让你交50注册费,所以很多人因此而苦恼,现在我们来分析这个软件,首先看看这个软件的磁盘保护功能,磁盘保护有三种:初级、中级、高级。由于没注册所以只能使用初级和中级,
初级的保护原理如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer下新建DWORD值NoDrives(其中隐藏的值与磁盘号按照以下规则:二进制类型,A对应1, B对应2, C对应4,D对应8,以此类推。如果你要隐藏C盘、D盘的话就是:4+8=12),同时还在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer下新建DWORD值NoViewOnDrive,防止你打开磁盘,与上面NoDrives的设置值一样。你要不让浏览C盘、D盘的话,你就设置NoViewOnDrive的值为4+8=12即可。
中级的保护原理如下:
通过删除磁盘的驱动号来隐藏磁盘,你通过控制面板-〉管理工具-〉计算机管理-〉磁盘管理,对删除磁盘的驱动号重新添加驱动号来重新显示磁盘。
禁止使用USB设备的原理:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
里的DWORD值的名称为Start的DWORD值改为4,就是让USB的驱动程序开机运行时不自动加载,从而达到禁止使用U盘的目的。
只读使用U盘、移动硬盘的原理:
该软件在注册表里的如下路径里:
HKEY_LOCAL_MACHINE\SYSTEM\Current\ControlSet\Control添加一个StorageDevicePolicies的项,然后再增加DWORD值的名称为WriteProtect,将这个DWORD值设为1。
   文件夹超级加密大师的一个重要功能就是对文件夹可以进行加密,
它的加密方式分为:快速、隐藏等几种加密方式,我在这里专门分析快速和隐藏这两种加密方式。当你安装好这个软件后,你会发现你计算机的每个磁盘下都有回收站(RECYCLER这个文件夹),这个文件夹里保存着你用这个软件加密的文件夹。这就是加密某文件夹后的效果,如下图:

图2
这个文件夹是无法打开、删除、复制等等,甚至使用冰刃、文件夹嗅探器等工具也无法识别和操作,因为这个文件夹含有特殊的字符所造成的,加密后的文件夹它包含三层,第一层特殊文件夹名如图1,第二层文件夹名是(W-S-FSE-750715-771104-3000.),第三层文件名就是com1.{21EC2020-3AEA-1069-A2DD-08002B30309D}。我们需要一层层把它“抽丝剥茧”,这里注意第一层文件夹名是利用Unicode字符命名的。主要代码如下:
function JieMi(Sourcedir,DestDir:widestring):boolean;
var
i:integer;
TempDir,Reserved,LReserved: widestring;
runpath:string;
begin
result:=false;
//去掉第一层文件夹
for i:=0 to 12 do
sourcedir:= sourcedir + widechar($007F);
sourcedir:=sourcedir+widechar($00E3)+widechar($002E)+widechar($002E)+widechar($005C);
//去掉文件夹系统属性
SetFileAttributesW(pwidechar(sourcedir),FILE_ATTRIBUTE_NORMAL);
if not MoveFileW(Pwidechar(sourcedir),pwidechar(DestDir)) then
exit;
//去掉第二层文件夹
TempDir :=DestDir+ 'W-S-FSE-750715-771104-3000..\';
Reserved:=DriverPath+'TEMP1\';
if not MoveFileW(Pwidechar(TempDir),pwidechar(Reserved)) then
Exit;
//去掉第三层文件夹
TempDir:=Reserved+ 'com1.{21EC2020-3AEA-1069-A2DD-08002B30309D}\';
LReserved:=DriverPath+'解密文件夹\';
if not MoveFileW(Pwidechar(TempDir),pwidechar(LReserved)) then
exit;
SetFileAttributesW(pwidechar(LReserved+'Local\'), FILE_ATTRIBUTE_NORMAL);
SetFileAttributesW(pwidechar(LReserved+'Hide\'), FILE_ATTRIBUTE_NORMAL);
RmDir(string(DestDir));
RmDir(string(Reserved));
runpath:='Explorer  /n,/e,'+ LReserved;
winexec(pchar(runpath),SW_SHOW);
esult:=True;
end;
下面通过该程序去解密文件夹超级加密大师V15.9.3.0这个软件加密的文件夹,其解密后的效果如下图:

图3
解密后会自动打开解密的文件夹,其中Hide文件夹里保存着用隐藏方式加密的文件夹,而Local文件夹里保存着闪电方式加密的文件夹。每个解密的文件夹里会含有一个文件名为FSEEncFolder.info的文件,这就是存放加密该文件夹的密码的文件。其他的加密方式: 全面、金钻、移动。因为这几种方式该软件使用了加密算法把文件夹里的文件进行加密,如果想要解密出来的话,需要分析该软件所使用的算法或者解密出来加密密码才能对加密的文件夹进行解密。这里就不多说那,很多快速加密的软件大多都是使用我所分析的这种“加密“方式来加密文件,其中所不同的是加密后的文件夹的命名不同罢了,有兴趣的读者可以根据我所提供的思路和源代码来破解这类所谓的“高强度”加密软件。

本文已发表在黑防2010第3期上。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (2)
garyzjq
雪    币: 463
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我当时破一个文件夹加密软件也就是用TOTALCMD逐层改文件名就解决了,毕竟对所有文件加密速度太慢,特别是U盘,也只能通过移动文件的办法实现隐藏了
2010-3-31 20:36
0
riusksk
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
3
图片都没显示!!!!
2010-3-31 20:44
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//