首页
社区
课程
招聘
[求助]Microsoft Private Folder 算法分析
发表于: 2024-7-8 22:24 1878

[求助]Microsoft Private Folder 算法分析

2024-7-8 22:24
1878

Microsoft Private Folder 分析报告
1.软件简介
微软公司在windows xp sp2 正版增值服务中推出的一个对文件夹内容进行加密的加密软件。发布不就之后就下架了。
2.加密过程
①安装后会生成my Private Folder文件夹,同时生成prvflder.dat,内部保存打开应用秘钥对应的密文。
②后续使用只需要输入软件密码就可以查看my Private Folder文件夹内文件。
③如将a.txt放入应用程序内,通过diskgenius读取文件会发同时生成1个a.txt和a.txt.$e_。
④支持加密后文件导出功能,导出后还是加密会将a.txt.$e_和1个a.txt拼接为新文件。
⑤支持加密后文件导入功能,选择路径后,输入密码(导出时软件密码),可将文件导入,导入的文件会有一个解密后,重新加密的过程,假如文件密码(导出时软件密码)和软件密码(导入时软件密码)一致也会进行解密在加密。
3.加密分析(加密算法推测位于sys文件中)
(1)a.txt.$e_
①大小固定为1024字节或512字节(原始文件为512字节的倍数时)。
②文件头为50 46 58 21( PFX!)
③第6-21共16字节,全部为0,修改影响文件解密,原因未知。
④第22-23共2字节,修改不影响文件解密,但是影响文件长度,对于512字节倍数文件会导致长度变短,同时影响第0,2,4,6,8,10,12个512字节的1和9字节解析,怀疑流加密算法有关。
⑤第24-39共16字节影响文件解密,推断为盐。
⑥第40-71共32字节,256位,修改影响文件解密,推断为sha256密文。
⑦第72-103共32字节,256位,修改不影响文件解密,但是影响解密后的文件内容,变为乱码,怀疑和流加密算法有关。
(2)a.txt
①a.txt加密后与加密之前文件字节数一致。
②怀疑和怀疑流加密算法有关。
4.入手思路
①可以通过加密文件导入,分析其文件读取过程,分析其算法。
②可以通过文件加密,分析其文件读取、写入过程,分析其算法。
③也可以关注一下PFLib.dll。
5.目标
①找到加密算法,确定准确的sha256的密文和盐,通过hashcat暴力破解。
②找到加密算法,确定准确的sha256的密文和盐,通过彩虹表查找。
③确定对称加密算法,研究是否可以绕过sha256,直接通过流加密算法解密。
sha256加密相关 .$e_文件生成过程 findcrypt-yara识别结果


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//