Microsoft Private Folder 分析报告
1．软件简介
微软公司在windows xp sp2 正版增值服务中推出的一个对文件夹内容进行加密的加密软件。发布不就之后就下架了。
2．加密过程
①安装后会生成my Private Folder文件夹，同时生成prvflder.dat，内部保存打开应用秘钥对应的密文。
②后续使用只需要输入软件密码就可以查看my Private Folder文件夹内文件。
③如将a.txt放入应用程序内，通过diskgenius读取文件会发同时生成1个a.txt和a.txt.$e_。
④支持加密后文件导出功能，导出后还是加密会将a.txt.$e_和1个a.txt拼接为新文件。
⑤支持加密后文件导入功能，选择路径后，输入密码（导出时软件密码），可将文件导入，导入的文件会有一个解密后，重新加密的过程，假如文件密码（导出时软件密码）和软件密码（导入时软件密码）一致也会进行解密在加密。
3．加密分析（加密算法推测位于sys文件中）
（1）a.txt.$e_
①大小固定为1024字节或512字节（原始文件为512字节的倍数时）。
②文件头为50 46 58 21( PFX!)
③第6-21共16字节，全部为0，修改影响文件解密，原因未知。
④第22-23共2字节，修改不影响文件解密，但是影响文件长度，对于512字节倍数文件会导致长度变短，同时影响第0,2,4,6,8,10,12个512字节的1和9字节解析,怀疑流加密算法有关。
⑤第24-39共16字节影响文件解密，推断为盐。
⑥第40-71共32字节，256位，修改影响文件解密，推断为sha256密文。
⑦第72-103共32字节，256位，修改不影响文件解密，但是影响解密后的文件内容，变为乱码，怀疑和流加密算法有关。
（2）a.txt
①a.txt加密后与加密之前文件字节数一致。
②怀疑和怀疑流加密算法有关。
4．入手思路
①可以通过加密文件导入，分析其文件读取过程，分析其算法。
②可以通过文件加密，分析其文件读取、写入过程，分析其算法。
③也可以关注一下PFLib.dll。
5．目标
①找到加密算法，确定准确的sha256的密文和盐，通过hashcat暴力破解。
②找到加密算法，确定准确的sha256的密文和盐，通过彩虹表查找。
③确定对称加密算法，研究是否可以绕过sha256，直接通过流加密算法解密。
sha256加密相关 .$e_文件生成过程 findcrypt-yara识别结果

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课