-
-
[求助]Microsoft Private Folder 算法分析
-
发表于: 2024-7-8 22:24 1878
-
Microsoft Private Folder 分析报告
1.软件简介
微软公司在windows xp sp2 正版增值服务中推出的一个对文件夹内容进行加密的加密软件。发布不就之后就下架了。
2.加密过程
①安装后会生成my Private Folder文件夹,同时生成prvflder.dat,内部保存打开应用秘钥对应的密文。
②后续使用只需要输入软件密码就可以查看my Private Folder文件夹内文件。
③如将a.txt放入应用程序内,通过diskgenius读取文件会发同时生成1个a.txt和a.txt.$e_。
④支持加密后文件导出功能,导出后还是加密会将a.txt.$e_和1个a.txt拼接为新文件。
⑤支持加密后文件导入功能,选择路径后,输入密码(导出时软件密码),可将文件导入,导入的文件会有一个解密后,重新加密的过程,假如文件密码(导出时软件密码)和软件密码(导入时软件密码)一致也会进行解密在加密。
3.加密分析(加密算法推测位于sys文件中)
(1)a.txt.$e_
①大小固定为1024字节或512字节(原始文件为512字节的倍数时)。
②文件头为50 46 58 21( PFX!)
③第6-21共16字节,全部为0,修改影响文件解密,原因未知。
④第22-23共2字节,修改不影响文件解密,但是影响文件长度,对于512字节倍数文件会导致长度变短,同时影响第0,2,4,6,8,10,12个512字节的1和9字节解析,怀疑流加密算法有关。
⑤第24-39共16字节影响文件解密,推断为盐。
⑥第40-71共32字节,256位,修改影响文件解密,推断为sha256密文。
⑦第72-103共32字节,256位,修改不影响文件解密,但是影响解密后的文件内容,变为乱码,怀疑和流加密算法有关。
(2)a.txt
①a.txt加密后与加密之前文件字节数一致。
②怀疑和怀疑流加密算法有关。
4.入手思路
①可以通过加密文件导入,分析其文件读取过程,分析其算法。
②可以通过文件加密,分析其文件读取、写入过程,分析其算法。
③也可以关注一下PFLib.dll。
5.目标
①找到加密算法,确定准确的sha256的密文和盐,通过hashcat暴力破解。
②找到加密算法,确定准确的sha256的密文和盐,通过彩虹表查找。
③确定对称加密算法,研究是否可以绕过sha256,直接通过流加密算法解密。
sha256加密相关 .$e_文件生成过程 findcrypt-yara识别结果