[摘 要]用“高強(qiáng)度文件夾加密大師”加密的文件和文件夾，具有隱蔽性好、保密性強(qiáng)的特點(diǎn)，在一定程度上能起到防止文件不被非授權(quán)人員訪問(wèn)的作用。但這也帶來(lái)了一定的副作用，比如忘記密碼后，將無(wú)法再次打開(kāi)文件，辛勤的勞動(dòng)成果付諸東流，或者在偵查人員提取電子物證時(shí)，阻礙其獲得取證的權(quán)限，延誤案件的審理和審判，有時(shí)還會(huì)給用戶帶來(lái)巨大損失。本文簡(jiǎn)介用WinRAR軟件、DEL.BAT批處理文件和Win Hex工具恢復(fù)用該加密軟件移動(dòng)加密的文件或/和文件夾的方法。
　　[關(guān)鍵詞]高強(qiáng)度文件夾加密大師；文件恢復(fù)；移動(dòng)加密；winhex；WinRAR軟件
　　中圖分類(lèi)號(hào)：S603 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2018）24-0156-01
　　高強(qiáng)度文件夾加密大師對(duì)文件夾的加密方式分為三種，分別是本機(jī)加密、移動(dòng)加密、隱藏加密，由于目前使用最普遍、恢復(fù)難度最大的方式是移動(dòng)加密，本文將對(duì)移動(dòng)加密的方式進(jìn)行原理分析和并對(duì)文件恢復(fù)的步驟予以介紹。
　　1、高強(qiáng)度文件夾加密大師的原理
　　先建立A文件夾，然后把要加密的文件/文件夾放到A文件夾里頭，然后對(duì)A文件夾采用隱藏、重命名、加后綴等多種方式，達(dá)到偽裝的目的。通俗來(lái)講，原來(lái)加密的文件夾進(jìn)行加密后在里面生成Thumbs.dn、！解密加密.exe、desktop.ini三個(gè)文件，desktop.ini是用來(lái)處理文件夾圖標(biāo)的顯示；！解密加密.exe是一個(gè)脫殼的程序，可以脫離主程序運(yùn)行。Thumbs.dn這個(gè)就是原來(lái)加密前文件夾內(nèi)文件的存放地。雙擊打開(kāi)只能看到打印機(jī)的圖標(biāo)顯示，通過(guò)使用壓縮工具winRAR將它進(jìn)行加壓，打開(kāi)生成的壓縮包，進(jìn)入會(huì)看到desktop.ini、117789687LIST.mem、117789687、1.mem、1.mem、2.mem、3.mem、……x.mem，后面的幾個(gè).mem文件就是原來(lái)加密前文件夾內(nèi)的文件。
　　2、高強(qiáng)度文件夾加密大師的登陸密碼破解
　　此款軟件會(huì)設(shè)置登錄密碼，關(guān)于次密碼的破解，具體參照如下步驟：
　�。�1）在電腦上按下WINDOWS鍵加R，出現(xiàn)運(yùn)行框之后輸入regedit，進(jìn)入注冊(cè)表編輯器
　�。�2）密碼保存在注冊(cè)表[HKEY_LOCAL_MACHINE＼SOFTWARE＼ ExeSoft＼Strong]子項(xiàng)，在右邊窗口中有個(gè)名為E的鍵值項(xiàng)便用于保存運(yùn)行密碼，密碼是經(jīng)過(guò)簡(jiǎn)單字符轉(zhuǎn)換處理的，修改它的值，就可以改變運(yùn)行密碼，清空它的值或刪除E鍵值項(xiàng)，運(yùn)行密碼即被清除。
　�。�3）由上圖可知E的鍵值打開(kāi)后出現(xiàn)的密匙為：<42751，對(duì)應(yīng)的密碼分別為806315，由此可以獲取其登陸密碼，進(jìn)入下一步設(shè)置。
　　3.使用壓縮軟件對(duì)移動(dòng)加密文件夾破解
　　移動(dòng)加密的方式原理上文已經(jīng)提到，它首先會(huì)在加密文件夾中創(chuàng)建Thumbs.dn目錄和解密加密.exe、desktop.ini兩個(gè)文件，desktop.ini是用來(lái)處理文件夾的圖標(biāo)顯示；解密加密.exe是一個(gè)脫殼程序，可脫離主程序運(yùn)行。Thumbs.dn目錄就是加密文件存放地，但是它被偽裝成打印機(jī)文件夾了。筆者用此軟件加密了倆個(gè)記事本文件，在用WINRAR軟件打開(kāi)之前，我們是看不到THUMBS目錄和desktop.ini文件的，，這是因?yàn)檫@倆個(gè)文件被系統(tǒng)所隱藏，按照如下方式進(jìn)行操作，點(diǎn)擊查看------文件夾選項(xiàng)-------隱藏受保護(hù)的操作系統(tǒng)文件-------把√取消勾選，此時(shí)我們會(huì)看到隱藏的文件隨后我們用WinRAR軟件打開(kāi)Thumbs.dn目錄，會(huì)看到以下文件：
　　desktop.ini117789687LIST.mem1177896871.mem2.mem
　　1.mem和2.mem兩個(gè)文件便是原來(lái)的加密文件，這里只是將文件擴(kuò)展名改為mem。如果還記得原來(lái)的文件擴(kuò)展名，將名字改回并刪除desktop.ini文件即可解密（如原來(lái)是1.doc，就把1.mem改成1.doc）。117789687LIST.mem文件用于保存加密的文件列表，當(dāng)解密文件時(shí)，加密大師會(huì)從這里讀取加密文件列表以恢復(fù)被加密的文件。117789687文件用于保存加密密碼，密碼也是經(jīng)過(guò)簡(jiǎn)單字符轉(zhuǎn)換處理的，我們可以修改這個(gè)文件來(lái)改變密碼。在密鑰前面有一個(gè)特殊符號(hào)，“&”或“-”，根據(jù)符號(hào)的不同，密鑰也分為兩組。如果是以“&”符號(hào)開(kāi)頭，參考列表一，如果是以“-”符號(hào)開(kāi)頭，參考列表二。，對(duì)此我們先打開(kāi)117789687記事本，發(fā)現(xiàn)了密匙為37對(duì)應(yīng)密碼為2，也就是我之前所設(shè)置的一位密碼，但不知為何“-”符號(hào)顯示為空白，處于段首的位置。這是其中的一種方法，通過(guò)密匙來(lái)對(duì)照密碼對(duì)文件予以破解，基于此我萌生了另一個(gè)想法就是把117789687的文件記事本予以替換，換成自己已知加密過(guò)的文件夾密碼，也就是說(shuō)不用對(duì)照，也可以打開(kāi)加密的文件，具體操作步驟如下：將壓縮文件中的記事本密匙替換為34，并保留初始空位（如果刪除則密匙無(wú)效），并把desktop文件重命名，之后再輸入已知的密碼1，即可解開(kāi)所在的文件夾，可以看到所在的倆個(gè)記事本文檔。
　　4.利用批處理文件打開(kāi)thumbs.dn
　　首先作個(gè)批處理文件
　　DEL.BAT：del？Thumbs.dn＼desktop.ini/f/s/q/a
　　復(fù)制這個(gè)命令到記事本，選擇文件→另存為：保存類(lèi)型選擇所有類(lèi)型，文件名為del.bat讓此文件與解密EXE程序在同一目錄運(yùn)行，雙擊打開(kāi)之后，發(fā)現(xiàn)文檔thumbs.dn可以打開(kāi)，，之后便可以提取117789687記事本中的密匙，或者我們可以直接在文檔里修改密匙值，替換為我們自己想要的密碼，也可以打開(kāi)文件夾。這種方法需要對(duì)DEL指令有一定的了解，/P刪除每一個(gè)文件之前提示確認(rèn)，/F強(qiáng)制刪除只讀文件，/S從所有子目錄刪除指定文件。
　　5.總結(jié)
　　高強(qiáng)度文件夾加密大師這款軟件通過(guò)隱藏與重命名以及偽裝成打印機(jī)的方式，對(duì)文件的內(nèi)容予以保護(hù)，而上訴的幾種方法則為密碼破解與文件恢復(fù)提供了途徑，實(shí)際操作性很強(qiáng)，較為實(shí)用，有一定的參考價(jià)值。
　　參考文獻(xiàn)
　　[1] 戴士劍，陳永紅.數(shù)據(jù)恢復(fù)技術(shù)[M].北京：電子工業(yè)出版社，2003
　　[2] KruseIIWG，HeiserJG.計(jì)算機(jī)取證：應(yīng)急相應(yīng)精要[M].段海新等譯.北京：人民郵電出版社，2003.

相關(guān)熱詞搜索：初探 高強(qiáng)度 提取 文件夾 密碼破解