当前时间:Friday 2016年12月09日 欢迎访问 夜阑小雨 我的学习碎片档案,这里记录了我的学习内容和工作中经验,希望给您带去帮助。

当前位置: 首页 >> 丝雨点点 >> 正文

加密与解密【详解】--让秘密大白天下

Windows系统的文件夹Bug
          Windows系统对我们建立文件夹时输入的字符进行了限制,使我们只能输入普通字符。但是这种限制只存在于“资源管理器”中,而在“命令提示符”下则可以突破这些限制,创建一些含有特殊字符或路径的文件和文件夹。这些文件和文件夹不能在“资源管理器”中打开,也无法删除,只能在“命令提示符”中进行操作。下面我们来做两个小试验:     试验一:运行“命令提示符”,输入“md c:\test..\”,回车后就会在c盘的根目录下生成一个名为“test.”的文件夹,在“资源管理器”中,我们无法对这个文件夹进行任何操作,双击后会出现一个错误警告框。如果想要打开这个文件夹,只需要在“命令提示符”中输入命令“cd c:\test..\”即可。删除则用“rd c:\test..\”命令。
     
     试验二:创建一个文本文件,例如“c:\hack.txt”。然后运行命令提示符,输入“copy c:\hack.txt ”,回车后就会在c盘的根目录下生成一个名为com1.txt的文本文件,接着我们可以将c:\test.txt这个文件删除,只保留com1.txt。这个文本文件会无法正常打开,打开后会出现“拒绝访问”的提示。同样,在“命令提示符”中则可以正常操作这个文件,打开使用“\\.\c:\com1.txt”命令,删除使用“del ”命令。
     
     这就是Windows系统的文件夹Bug,而大多数的国产加密软件都使用了类似的原理,或者进一步增加隐藏、转移文件、进程保护等功能。由此可见,对于一个不熟悉这些技巧的用户而言,这种加密方式是安全的。而对于一个深谙此道的用户来说,这简直就是小儿科的东西,一个命令就可以让所有经过加密的文件现形!
    
简单破解高强度加密大师
     
     高强度加密大师是在网络被人抨击次数最多的加密软件,其加密的方法就是利用了上面我们所介绍的原理,只不过在这基础上增加了一些功能。这里我们需要借助一款文件夹监视工具——Filemon,用这款软件来监视高强度加密大师对文件的加密过程。
     
     首先安装高强度加密大师,安装完成后运行,在“任务管理器”中会多出一个名为“SVOHOST.EXE”的进程,这个进程将起到加密的作用。然后我们在d盘的根目录下新建一个test文件夹,在这个文件夹里新建一个文本文件hack.txt,内容为123456。
    
     由于系统在运行的时候会对c盘进行很多操作,在用Filemon进行监视时会产生大量的无用数据,所以测试时请选择其他的盘符。
     
     运行Filemon,点击“卷标”菜单,选择其中的“卷标D”,然后点击工具栏上的“过滤”按钮,在包含一栏中输入“SVOHOST.EXE”,这样就可以监视高强度加密大师对d盘的操作。
     
     在d:\test文件夹上点右键,选择“高强度加密”,在弹出的“文件夹加密”窗口中输入一个密码,并在加密选项中选中“本机加密”,然后点击“加密”按钮,这样test这个文件夹就被加密了,在文件夹的图标上会加上一把锁。 利用系统默认隐藏文件夹
     
     我们返回Filemon,可以看到在Filemon中已经监视到了很多的数据。我们首先来看一下其中的一条数据,高强度加密大师访问了“D:\RECYCLER\S-1-5-21-1060284298-811497611-11778920086-500\”这个路径,对于D:\RECYCLER这个文件夹,它是NT构架的系统为系统中的每个用户建立的回收站文件,在其后面的一串数值是帐户的SID值,不同的用户拥有不同的SID值,如果我们在另外一个帐户下使用高强度加密大师进行加密,路径就会和上面的不同。RECYCLER文件夹在资源管理器中默认是不显示的。我们需要点击资源管理器中的“工具”→“文件夹选项”,选中“显示所有文件和文件夹”,并去掉“隐藏受保护的操作系统文件”前面的钩才可以将它显示。
利用文件夹Bug
     
     继续分析Filemon捕获的数据,“D:\RECYCLER\S-1-5-21-1060284298-811497611 -11778920086-500\INFO2\Di1 \com1.{21ec20 20-3aea-1069-a2dd-08002b30309d}\74657374 ?\”,到这一步,高强度加密大师又创建了INFO2、Di1、com1.{21ec2020-3aea-1069-a2dd- 08002b30309d}和74657374?四个文件夹,这些文件夹很明显利用了我们在上文中提到的文件夹Bug。 找到被加密的文件
     
     进入“D:\RECYCLER\S-1-5-21-1060284 298-811497611-11778920086-500\”目录,发现这里并没有INFO2文件夹,那么这一长串路径是哪来的呢?其实INFO2文件夹是存在的,不过被隐藏了,我们需要使用工具来打开该文件夹。
     
     这里我们要用到一款文件管理软件“total commander”,运行后点击“配置”菜单→“选项”→“显示”,选中“显示系统/隐藏文件”。用它打开上文中的文件夹后可以看到INFO2文件夹确实是存在的,在同一目录中还有一个desktop.ini文件,这个文件的作用是隐藏INFO2文件夹。
用total commander打开74657374?文件后,就可以找到hack.txt了,里面的内容仍是123456。可见高强度加密大师并没有将文件的内容加密,只是将文件隐藏了起来。这样做的后果可想而知,只要黑客用total commander打开相应的文件夹,所有的文件就一览无遗了。而RECYCLER文件夹通常会存放一些旧文件,如果用优化软件对系统进行优化,这个文件夹里的内容很可能被清除,我们的重要文件也就永远消失了.

作者:夜阑小雨
原文链接:加密与解密【详解】--让秘密大白天下
夜阑小雨版权所有,转载本网站文章时请保留此信息。

收藏和分享: 转贴到开心网 转贴到校内网 分享到 Twitter Delicious 分享到 Google Reader 分享到 百度收藏 分享到 QQ收藏

所在分类:丝雨点点

评论信息

0 条评论 发表评论

发布评论

您必须登录才能发表评论。

网站客户端下载