WinRAR破解磁碟加密王是一種高強度資料夾加密大師”磁碟加密軟體。
簡介,問題分析,加密原理,
簡介
一大早,筆者打開辦公室電腦,頓時傻眼了。除C糟外的其它磁碟里的所有資料夾及檔案全都不見了,每個磁碟中只留下一個“磁碟加密王”和一個“技術支持”的文本文檔(圖1)。但筆者從未用過“磁碟加密王”這個軟體,也沒有將電腦交給其他人使用,這究竟是怎么回事呢?雙擊F盤中的“磁碟加密王”,彈出“移動解密”對話框,提示需要密碼才能完全解密。打開磁碟中的“技術支持”文本檔案,發現文檔中留下了一個QQ號,與其聯繫,告知要想解密需交人民幣三百元。筆者的電腦幾天前剛安裝了正版Windows XP SP2和瑞星2006防毒軟體,使用的是Windows XP系統自帶的防火牆,沒想到昨天在上網時還是被黑客無聲無息地入侵了。
WinRAR破解磁碟加密王
問題分析
針對這個情況,筆者首先查看了被加密的幾個磁碟空間,發現磁碟空間與加密前相比並沒有減少。筆者確認磁碟數據並沒有丟失,但被別有用心的人用軟體加密了。筆者啟動瑞星2006查殺病毒,沒有發現病毒,在用瑞星2006掃描D和E盤時,都掃描到了筆者保存在磁碟中的資料夾和檔案,只不過它們都保存在一個名為“Thumbs.dn”的資料夾中。但從“我的電腦”打開相應的磁碟卻無法查看到這個資料夾,因此無法獲取存放在磁碟中的資料。
筆者以前曾用WinRAR查看過隱藏在磁碟中的資料夾和檔案。能不能通過WinRAR找到隱藏的“Thumbs.dn”資料夾呢?筆者打開WinRAR,利用“檔案”選單中的“改變驅動器”切換至F盤。在WinRAR主視窗中,F盤中包括“Thumbs.dn”在內的所有隱藏對象都顯示出來了(圖2)。
WinRAR破解磁碟加密王
通過查找相關資料獲悉,“磁碟加密王”實際是一款名為“高強度資料夾加密大師”磁碟加密軟體。它不受系統影響,沒有解密密碼即使系統重裝、Ghost還原,數據也依然加密。所以,沒有密碼一般不易破解。
加密原理
經過筆者的分析,“高強度資料夾加密大師”對資料夾及檔案加密時,實質是對資料夾和檔案的名稱進行了加密處理,資料夾和檔案本身內容並沒有改變。
對資料夾進行加密時,軟體對加密路徑下的所有資料夾進行了改名處理,將原來的資料夾名稱為以數字“1~m”(m個資料夾)為序重新命名,並在每個資料夾的數字名稱後加上代碼“.”。此代碼是印表機系統資料夾的代碼,因此,解密資料夾時必須要將此代碼刪除,否則得到的就是印表機的圖示(圖3)。
WinRAR破解磁碟加密王
對檔案的加密,軟體同樣是以數字為序對檔案名稱採取了改名處理,將所有檔案名稱主名改名為“1~n”(n個檔案),擴展名改為“.mem”。
在“Thumbs.dn”資料夾中,有兩個檔案值得我們注意,即“117789687”和“117789687list.mem”,這兩個檔案存放的是密碼相關信息。其中,“117789687list.mem”檔案存放的是加密前資料夾及檔案的名稱數據及與加密後資料夾和檔案名稱稱對應關係等信息。不過,軟體開發者已經對這兩個檔案的數據進行了算法處理,沒有軟體開發者提供的密碼錶,我們無法獲取密碼信息。另外,在“%systemroot%\\system32\\”下有這樣一個檔案“danine.dll”,它記錄了軟體目前已經加密了哪些磁碟和資料夾信息,用“記事本”可以直接打開查看。
對檔案的加密,軟體同樣是以數字為序對檔案名稱採取了改名處理,將所有檔案名稱主名改名為“1~n”(n個檔案),擴展名改為“.mem”。
對檔案的加密,軟體同樣是以數字為序對檔案名稱採取了改名處理,將所有檔案名稱主名改名為“1~n”(n個檔案),擴展名改為“.mem”。
在“Thumbs.dn”資料夾中,有兩個檔案值得我們注意,即“117789687”和“117789687list.mem”,這兩個檔案存放的是密碼相關信息。其中,“117789687list.mem”檔案存放的是加密前資料夾及檔案的名稱數據及與加密後資料夾和檔案名稱稱對應關係等信息。不過,軟體開發者已經對這兩個檔案的數據進行了算法處理,沒有軟體開發者提供的密碼錶,我們無法獲取密碼信息。另外,在“%systemroot%\\system32\\”下有這樣一個檔案“danine.dll”,它記錄了軟體目前已經加密了哪些磁碟和資料夾信息,用“記事本”可以直接打開查看。