一大早,笔者打开办公室电脑,顿时傻眼了。除C盘外的其它磁盘里的所有文件夹及文件全都不见了,每个磁盘中只留下一个“磁盘加密王”和一个“技术支持”的文本文档(图1)。但笔者从未用过“磁盘加密王”这个软件,也没有将电脑交给其他人使用,这究竟是怎么回事呢?双击F盘中的“磁盘加密王”,弹出“移动解密”对话框,提示需要密码才能完全解密。打开磁盘中的“技术支持”文本文件,发现文档中留下了一个QQ号,与其联系,告知要想解密需交人民币三百元。笔者的电脑几天前刚安装了正版Windows XP SP2和瑞星2006杀毒软件,使用的是Windows XP系统自带的防火墙,没想到昨天在上网时还是被黑客无声无息地入侵了。


  问题分析

  针对这个情况,笔者首先查看了被加密的几个磁盘空间,发现磁盘空间与加密前相比并没有减少。笔者确认磁盘数据并没有丢失,但被别有用心的人用软件加密了。笔者启动瑞星2006查杀病毒,没有发现病毒,在用瑞星2006扫描D和E盘时,都扫描到了笔者保存在磁盘中的文件夹和文件,只不过它们都保存在一个名为“Thumbs.dn”的文件夹中。但从“我的电脑”打开相应的磁盘却无法查看到这个文件夹,因此无法获取存放在磁盘中的资料。

  笔者以前曾用WinRAR查看过隐藏在磁盘中的文件夹和文件。能不能通过WinRAR找到隐藏的“Thumbs.dn”文件夹呢?笔者打开WinRAR,利用“文件”菜单中的“改变驱动器”切换至F盘。在WinRAR主窗口中,F盘中包括“Thumbs.dn”在内的所有隐藏对象都显示出来了(图2)。



  通过查找相关资料获悉,“磁盘加密王”实际是一款名为“高强度文件夹加密大师”磁盘加密软件。它不受系统影响,没有解密密码即使系统重装、Ghost还原,数据也依然加密。所以,没有密码一般不易破解。

  加密原理

  经过笔者的分析,“高强度文件夹加密大师”对文件夹及文件加密时,实质是对文件夹和文件的名称进行了加密处理,文件夹和文件本身内容并没有改变。

  对文件夹进行加密时,软件对加密路径下的所有文件夹进行了改名处理,将原来的文件夹名称为以数字“1~m”(m个文件夹)为序重新命名,并在每个文件夹的数字名称后加上代码“.”。此代码是打印机系统文件夹的代码,因此,解密文件夹时必须要将此代码删除,否则得到的就是打印机的图标(图3)。


  对文件的加密,软件同样是以数字为序对文件名采取了改名处理,将所有文件名主名改名为“1~n”(n个文件),扩展名改为“.mem”。

  在“Thumbs.dn”文件夹中,有两个文件值得我们注意,即“117789687”和“117789687list.mem”,这两个文件存放的是密码相关信息。其中,“117789687list.mem”文件存放的是加密前文件夹及文件的名称数据及与加密后文件夹和文件名称对应关系等信息。不过,软件开发者已经对这两个文件的数据进行了算法处理,没有软件开发者提供的密码表,我们无法获取密码信息。另外,在“%systemroot%\\system32\\”下有这样一个文件“danine.dll”,它记录了软件目前已经加密了哪些磁盘和文件夹信息,用“记事本”可以直接打开查看。

  解密文件夹

  打开WinRAR,依次单击“文件→改变驱动器→F”,切换至需要解密的磁盘。在WinRAR主窗口中,双击“Thumbs.dn”,打开该文件夹。此文件夹中,我们发现保存在F盘上的所有文件夹。将每个文件夹名称数字序号后的“.”代码删除。然后,选中所有文件夹,单击工具栏中的“添加”按钮,将这些文件夹压缩成一个文件存放至E盘。最后,解压此压缩文件即得到所有存放在F盘中的文件夹及保存在文件夹中的文件。

  解密文件

  解密存放在磁盘根目录下的文件,我们要判断文件是否为RAR类型的文件,分两种情况进行。

  1.RAR类型的文件

  这类文件,我们只要直接选中它,单击工具栏中的“解压至”,然后选择文件解压存放的路径,将文件直接解压,实现解密。

  2.非RAR类型的文件

  对这类文件解密起来麻烦一些。首先,根据文件长度回忆原文件的类型。如果实在想不起来,你可以试试“文件夹嗅探器”,嗅探根目录下的所有“.mem”文件,单击工具栏中的测试文件类型工具,测试得出该文件的类型。然后,打开WinRAR,将该文件名的扩展名“.mem”改为原文件类型的扩展名。最后,用工具栏中的“添加”按钮,将此文件压缩打包存放至合适的位置,再解包得到原文件。


点赞(0)

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部