使用U盘、移动硬盘加密工具加密文件夹后,我用文件嗅探器工具也看不到加密后真实的文件,当用金山毒霸扫描发现,好像这些文件被隐藏保存在\Thumbs.dn\7.\中(其中那个7.中的7有时是其他的数字),但是我直接这样还是不能进入,所以我就特意对这款加密工具研究了一下,下面说下我的一点心得。
我们先在D盘新建个文件夹如lskr,即地址为D:\lskr,在里面随便放些文件,我放了大小分别为168KB和681KB的exe文件lskr1.exe和lskr2.exe,再将U盘加密工具绿色版(文件名为addpass.exe)放进去,运行这个addpass.exe,用密码为123456加密后,前面两个文件消失,只剩下addpass.exe这一个文件。
我们在“我的电脑-工具-文件夹选项-查看”中勾选“显示所有文件和文件夹”,又把“隐藏受保护的操作系统文件(推荐)”前的勾去掉,勾上“显示系统文件夹的内容”,这时显示出另两个隐藏文件Thumbs.dn和desktop.ini,在desktop.ini中的内容是:[.ShellClassInfo]InfoTip=文件夹 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下对我们好像没用,不用管它,再看Thumbs.dn的大小有850KB,和那两个文件的总大小差不多,不用怀疑,那两个文件一定是隐藏在里面的,直接双击进入Thumbs.dn,发现里面有个“添加打印机”和“Microsoft Office Document Image Writer”,并未发现我们寻找的文件,那两个文件跑哪去了呢?
我们在开始-运行-输入cmd,确定后进入MS-DOS,输入“cd\”回车进入C:,输入“D:”回车进入D:,输入“cd d:\lskr\Thumbs.dn”进入Thumbs.dn,再输入“dir /a”,这时候我们发现里面有几个文件:117789687,117789687LIST.men,1.mem,2.mem和desktop.ini,我们发现1.mem,2.mem的大小与最先放进去的那两个文件刚好差不多,所以他们应该是加密后的自定义格式文件,我们直接将它们拷贝出来看,使用命令“copy 1.mem D:\”和“copy 2.mem D:\”将这两个文件复制到D盘,再将它们的后缀由.mem改为.exe,这时我们惊奇的发现它们都恢复成本来的模样,跟放进去时的文件除文件名外都相同,看来这种所谓的U盘加密只是简单的改下后缀名,然后再隐藏一下而已。
但是虽然我们能找到加密过后的文件,下一步我们能不能破解那个加密的密码呢?我们发现还有个文件117789687LIST.men,而这个文件很可能就是用来保存密码的,使用命令“copy 117789687LIST.men D:\”和“start 117789687LIST.men”,都提示系统找不到指定的文件,这时我们使用“attrib 117789687LIST.mem -s -h -r”,删除文件的shr属性,再使用命令“start 117789687LIST.mem”,用文本文档打开,发现里面是一长串的字符,原以为这就是密码经过加密过后的代码,后来我又换了个密码重新加密,发现里面代码的内容没有改变,但当我把需要加密的文件增多或减少时,里面的内容随之变化。
