安全危机 破解U盘加密工具的加密方法原理

使用U盘、移动硬盘加密工具加密文件夹后，我用文件嗅探器工具也看不到加密后真实的文件，当用金山毒霸扫描发现，好像这些文件被隐藏保存在\Thumbs.dn\7.\中（其中那个7.中的7有时是其他的数字），但是我直接这样还是不能进入，所以我就特意对这款加密工具研究了一下，下面说下我的一点心得。

我们先在D盘新建个文件夹如lskr，即地址为D:\lskr，在里面随便放些文件，我放了大小分别为168KB和681KB的exe文件lskr1.exe和lskr2.exe，再将U盘加密工具绿色版（文件名为addpass.exe）放进去，运行这个addpass.exe，用密码为123456加密后，前面两个文件消失，只剩下addpass.exe这一个文件。

我们在“我的电脑－工具－文件夹选项－查看”中勾选“显示所有文件和文件夹”，又把“隐藏受保护的操作系统文件（推荐）”前的勾去掉，勾上“显示系统文件夹的内容”，这时显示出另两个隐藏文件Thumbs.dn和desktop.ini，在desktop.ini中的内容是：[.ShellClassInfo]InfoTip=文件夹 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下对我们好像没用，不用管它，再看Thumbs.dn的大小有850KB，和那两个文件的总大小差不多，不用怀疑，那两个文件一定是隐藏在里面的，直接双击进入Thumbs.dn，发现里面有个“添加打印机”和“Microsoft Office Document Image Writer”，并未发现我们寻找的文件，那两个文件跑哪去了呢？

我们在开始-运行-输入cmd，确定后进入MS-DOS，输入“cd\”回车进入C:，输入“D:”回车进入D:，输入“cd d:\lskr\Thumbs.dn”进入Thumbs.dn，再输入“dir /a”，这时候我们发现里面有几个文件：117789687，117789687LIST.men，1.mem，2.mem和desktop.ini，我们发现1.mem，2.mem的大小与最先放进去的那两个文件刚好差不多，所以他们应该是加密后的自定义格式文件，我们直接将它们拷贝出来看，使用命令“copy 1.mem D:\”和“copy 2.mem D:\”将这两个文件复制到D盘，再将它们的后缀由.mem改为.exe，这时我们惊奇的发现它们都恢复成本来的模样，跟放进去时的文件除文件名外都相同，看来这种所谓的U盘加密只是简单的改下后缀名，然后再隐藏一下而已。





但是虽然我们能找到加密过后的文件，下一步我们能不能破解那个加密的密码呢？我们发现还有个文件117789687LIST.men，而这个文件很可能就是用来保存密码的，使用命令“copy 117789687LIST.men D:\”和“start 117789687LIST.men”，都提示系统找不到指定的文件，这时我们使用“attrib 117789687LIST.mem -s -h -r”，删除文件的shr属性，再使用命令“start 117789687LIST.mem”，用文本文档打开，发现里面是一长串的字符，原以为这就是密码经过加密过后的代码，后来我又换了个密码重新加密，发现里面代码的内容没有改变，但当我把需要加密的文件增多或减少时，里面的内容随之变化。

于是我猜想这应该是存储加密文件的文件名等信息的，我又看了另外个文件desktop.ini，里面内容为[.ShellClassInfo] CLSID=，还有个文件117789687，内容为343636303032，当加密密码改变时，这个代码也随之改变，如密码换成123时，这个代码变成343636，所以我判断这个才是真正的密码存储文件，但是它使用的是什么加密方式，我就无从得知了。

但我们可以使用替换法解决问题，如果我们忘记加密时的密码或查看别人的加密文件时，就可以将我们知道密码的加密代码来替换这段代码，于是就可用我们已知的密码解密那个加密文件夹了，例如我们可以将上面的代码343636303032替换其他加密文件的代码后，这时解密密码就变成123456。

这样，我们的破解就告一段落，看来，这种加密根本就不是用加密算法对文件数据加密，而只是简单的将文件信息改个后缀名隐藏起来，使一般人不能轻易浏览文件内容。这个软件加密的时候，将自动创建一个Thumbs.dn文件夹，将原文件变成以1，2，3...为文件名，以.mem的后缀的文件隐藏保存在Thumbs.dn文件夹内，另外创建117789687LIST.men保存文件名和位置等信息，117789687保存密码，并与U盘加密工具关联，一旦再次双击那个工具以后，弹出对话框要求密码确认，如果密码正确，就还原那些文件，否则就拒绝。