首页
社区
课程
招聘
[求助]加密U盘密码忘了,有办法破解吗?
发表于: 2009-1-9 18:05 21983

[求助]加密U盘密码忘了,有办法破解吗?

2009-1-9 18:05
21983
收藏
免费 0
支持
分享
最新回复 (62)
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
方法应该可以,不过做起来有点难,

密码是用它自己的加密算法处理了,然后再发给驱动,驱动再发给usb设备,

这样的话,需要先分析清楚它的算法,构造正确的,发送给驱动的数据才行
2009-1-13 17:33
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
我真不敢留言。。。
不知道以后的路还有多长
2009-1-13 18:53
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
你把你加密的软件发出来看看
2009-1-14 11:55
0
雪    币: 209
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
29
还是先确认下U盘里存储的数据是否已经加密了,如果已经加密了可能不那么容易恢复,如果没有加密只是特殊的存储方式可能可以提取出来.
2009-1-14 12:15
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
passid.exe?第一帖有链接
2009-1-14 15:41
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
U盘数据分析过了,只有passid.exe文件的数据,其它都是0或FF,

但U盘里是有几十M的数据的,但看不到
2009-1-14 15:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
楼主这样说,很难解决你的问题。
首先,你提供的资料不足。比如,你的u盘加密了,是u盘硬件加密?还是你下载的软件加的密?
何种软件加密的?……
如果你希望解决问题,那么有2个思路可以参考:
1,硬件或软件加密,那么可以联系u盘厂商(硬件或者u盘附送软件加密),或者联系该软件加密的作者。
2,强行解密。
如果第一个方法无效,那么可以解密。
2009-1-14 16:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
另外,我搜索了一下:
-----------------
加密型闪存可以在闪存存储空间中建立起一个保密区域(保密区域是隐藏起来的),而当我们要访问该保密区域中的文件时,需输入正确的密码才行。与前面的启动型闪存一样,我们这里需要再次请出Mformat.exe。运行Mformat.exe,在磁盘格式化窗口中,选择格式化方式为快速(由于前面我们已经将闪存全面格式化过,因此这里选择快速格式化)。选中“启动密码保护功能”和“制作启动盘”(如果不想该闪存成为启动型闪存,可不选)。单击“开始”按钮,开始制作启动、加密型闪存。

  这个时候,我们进入闪存,会发现多了一个PASSID.EXE文件。如果此时我们向闪存里复制文件的话,将遭到拒绝(如图4)。这个时候,闪存的存储区域已经锁了起来。要使用加密型闪存的存储区域,必须运行PASSID.EXE,然后在弹出的密码输入窗口中,输入正确的密码,单击“确定”按钮,便可以进入被加密的存储区域了(如图5)。
  由此可见,加密型闪存的关键便是这个PASSID.EXE文件,进入加密区域和重新锁定加密区域,均由此程序完成。经过多次试验发现,每次PASSID.EXE生成的默认密码均是1111,因此我们必须及时更换密码,否则加密型闪存还有何“密”可言。第一次解密之后,双击系统托盘中的PASSID图标。这个时候,PASSID加密程序马上就会弹出它的“密码修改”窗口(如图7 )。单击“修改密码”按钮,便可以更换密码了。PASSID闪存加密程序的密匙安全级别可以达到20位,还是蛮高的。

------------------
2009-1-14 16:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
因此,首先,请尝试默认密码1111。
2009-1-14 16:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
如果是更改了密码,可能有点麻烦,但是也不是完全没有希望的。
这时候,可以考虑3个思路
1 绕过加密,直接访问
2 破解密码
3 破解软件
2009-1-14 16:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
关于第一点,考虑一下在非win系统上是不是可以读取加密内容?比如苹果机,比如lux系统。还有,如果是在9x上实验,不支持ntfs文件系统的话,是否可以打开?
2009-1-14 16:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
对于第二点,破解密码:
首先,需要了解加密者的一些信息。比如是你加密的,那么你何时加密的?推测出一个大概的时间段,然后,查找此时间段,你曾经使用过的网络游戏密码,邮箱密码……最后,你的生日,你自己的或朋友的电话,自己或朋友的名字的拼音。
假如还是不可以,那么尝试一下穷举法软件。
2009-1-14 16:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
对于第三种,你需要了解何种程序加密的u盘,此程序是哪个版本的?作者或者厂商是谁?有时候,一个电话,一个email,就解决问题了。
如果没办法查找,尝试上传此程序到论坛,有很多高人可以帮你的忙
2009-1-14 16:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
即使程序无法上传,依然可以尝试将u盘作为镜像上传,或者用OllyDBG,或直接将程序拖到uedit里,再另存为即可拷贝出来,然后上传。
2009-1-14 16:49
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
首先感谢回复这么多信息,不过也稍稍建议一下,仔细看看前面的帖子

第一帖已经把加密软件,passid密码判定流程分析了,也上传了该加密软件

后面的回帖,也说明了用相关工具分析U盘数据的结果,

目前看,应该是硬件级加密,软件方面的破解估计没有戏了
2009-1-14 17:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
这样看起来,也就是说每个u盘只有唯一的一个exe?
那么,主体隐藏在哪里呢?
打开资源管理器的显示系统文件,显示隐藏文件。这样也无法看到被因此那个的内容吧。
那么,接下来有2种可能.
1u盘内容,被改写完成win不认识的分区格式了,或者说……改写了分区信息吗?
2 是整合到那个exe程序里面了?还是说文件资源被打包成了这个exe的资源呢?不过那样的话这个exe岂不是会很大?这种可能性非常小。会不会这个exe根本就不是一个纯粹的可执行pe程序,而是一个目录呢?只是加工成exe的方式?不过要辨别一下,也很简单。只要让杀毒软件扫描一下,再看看看扫描信息,一下子就可以辨别出这种伪exe的。
所以了……最大的可能就是u盘的分区表或者格式化信息被改写了……那不就是类似病毒的破坏结果吗?尝试一下使用修复磁盘的那些工具应该可以还原这个过程的!
2009-1-14 17:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
2009-1-14 17:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
先分析passid.exe,发现
1.运行passid.exe会解压2个文件:u3spwd.exe、U3sHlpDr.sys
2.退出,执行u3spwd.exe,弹出密码对话框

再分析u3spwd.exe,发现
1.输入的密码经过加密运算,用 DeviceIoControl 直接发给U3sHlpDr.sys
2.简单分析 U3sHlpDr.sys,并未对 DeviceIoControl 发送的数据进行运算或比较,而是用 IofCallDriver 把数据发给USB设备对象,等待,然后返回
3. DeviceIoControl 返回后,也未对返回的缓冲区的数据做任何计算或校验,只根据DeviceIoControl的返回值就判断了密码是否错误,弹出密码错误对话框

做了下尝试,修改密码判断流程,没有用处,无法看到U盘资料
--------------------------------------------------------------------------------

如果仅仅根据那个返回值判断的话,不同的电脑,会有不同的返回值吧?这个u盘难道会和电脑绑定?那样的话,岂不是要这个密码的意义就不大了吗?所以有8成几率,是不会如此的。那也就是说,要么这根本就是个障眼法,将破解者引向一个歧途而已,真正的返回值其实另有途径。要不然的话,这个加密信息,根本就是usb设备对象的一个分区表的信息而已。是了,也就是说,根本不用判断这个信息值的密码,因为原始密码,正好就是被隐藏的分区表信息啊!只要密码正确,你这个还原后的密码就会将分区表补完,然后就可以查看这个usb盘了
2009-1-14 17:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
假如不是上面分析的话,那就无法可想到底是怎样判断正确与否的了,因为必定应当有一个存储密码的文档,由一个效验密码的执行机制。
假如把这个exe改名,在别的u盘生成一个密码为1111的exe,通过cmd的copy功能拷贝到此磁盘,是不是就可以无视这个原加密,直接解密了呢?如果这样成功的话,倒是可以说密码存在这个exe里面,不然的话,u盘只有这个exe,没有其他文件,就无法理解他是怎样加密解密的了

或者说,那个密匙,也是被隐藏的。只有这个exe才可以访问密匙?但是这又与顶楼楼主的分析不符合。如果楼主没有分析错,那么就只是呢个下2个可能了
要不就是这个加密信息还原正好是被剪切下来的分区表,系统通过这个就可以还原u盘内容,还原不了,当然会返回错误值的。要不然的话这个信息就是于这个u盘的硬件信息绑定。如果是这样的话,那么只要用上面的方式,改名原来exe,从新生成一个加密exe,就可以绕过了。当然前提是你备份了整个u盘2进制信息。
2009-1-14 17:44
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
passid.exe这个程序,看样,只要是TCL的T盘都可以加密解密,不确定,因为这种U盘,我也只有一个

第一帖说的很清楚了,windows下打开U盘,只有这个passid.exe文件,后面回帖也说了passid.exe 大小272K,而资料有几十M,

强调一下吧:
windows/linux下查看U盘,是FAT16,没有任何隐藏文件,
分析了整个U盘数据,只有那一个文件,其它数据是0或FF

目前分析看:密码验证是由U盘自己的芯片进行验证

已经基本放弃了,可以结贴了
2009-1-14 17:48
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
悲剧,你先留着吧,说不定可以了.对了,你那下载地址我老是下不了.能不能换个网盘
2009-1-14 21:37
0
雪    币: 204
活跃值: (69)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
拆了 ,把存储器取下来,在用别的U盘来读出来
2009-1-15 00:48
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
如果是把盘格了,用软件来进行资料修复呢?
2009-1-15 01:43
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
那个liveshare真差,另外找了一个网盘,不过也不怎么样,下载会提示病毒

相关文件 tclusb.rar,在下面地址的 usb 目录下载

http://suisuisui.ys168.com
2009-1-15 10:48
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
这种方法有可能行,也有可能不行,不敢试啊
2009-1-15 10:49
0
游客
登录 | 注册 方可回帖
返回
//