高强度文件夹加密大师-研究

1. 无法对虚拟光驱盘加锁 — 必须对硬盘写操作

2. 加密文件夹, 事实上是对执行程序的调用 (SVOHOST.EXE),
体现为: 把加密执行程序exe改名, 再双击加密文件夹, 则跳出窗口,

— 真实文件夹被移动, 文件夹图标, 被改为对执行程序的带参数调用

3. "浏览解密"方式的破解&观察:

文件夹解密有几种方式, 一种是完全解密, 一种是"浏览解密"
或者说, 可以打开看一次, 关掉文件夹, 图标又变成"加锁"

对这种方式的研究表明:
a. 加密状态, 加锁图标, 事实上是一个 "文件夹名.mem" 的二进制文件
内容应该是 对加密程序的调用 + 密码的参数(不包括文件夹名信息, 后面有原因

b. 双击加锁文件夹, 输入浏览解密密码, 则文件夹打开
关掉文件夹, 则文件夹重新变成加锁状

c. 浏览解密方式打开文件夹以后, 这时2种方法可以长期解密:
i) task manager里面, 杀掉SVOHOST.EXE, 则文件夹为长期解密
ii) 把文件夹copy一个副本, 则副本不会被后台进程重新加密

d. 有趣的观察: 加锁文件夹名称, 加密前和解密后的文件夹名称, 是被加密程序使用的
表现为:
i) 改变加锁文件夹的名称, 那么解密后的文件夹, 也叫更改过的名字了
ii) 浏览解密状态下, 修改解密的文件夹名称, 不杀掉进程,
那么关掉文件夹的时候,
进程报错, "文件夹被使用, 不能加密"…事实上它找不到刚被我改名的文件夹了

4. 进一步研究

a. 对reg的edit:

folder对象上面, 增加右键菜单"高强度加密"
调用SVOHOST.exe lock "%1"

mem对象上面, 双击调用 SVOHOST.EXE unlock "%1"
(加锁的目录图标)

b. 安装目录:
SVOHOST.EXE 貌似是绿色软件… 不过在没有admin权限上面又不能运行, 匪夷..
de.dll 纯文本, 输入的注册码
danine.dll 纯文本, 已经加锁的目录list
(不过奇怪的是, 删掉这个文件, 主程序仍然记得加锁了哪些目录, 改了注册表么??)
//后记: 找到了, 保存在C:WINNTSYSTEM32danine.dll里面了
reg.dll 纯文本, 'self'

5. 移动加密-文件夹, 破解成功

a. 用leapftp打开"加锁文件夹"目录, 本来有2个文件, 依次为
458,240 nEOiMAGE.exe
135,680 ijl15.dll
(不要在桌面双击, 那样会调用SVOHOST.exe)

b. 发现子目录Thumbs.dn
下面一串*.mem文件

c. 对照加密前的文件list, 发现
135,680 1.mem
458,240 2.mem
文件大小依次对应

d. 把2个大文件依次改为加密前的文件名, exe, dll
运行, 成功!

comment: 利用了Thumbs.dn是系统缺省的隐藏文件夹;
某个.mem文件应该是文件名对应表

… 仍然还有2种加密没解决:
"本机加密", (就是前面文章说"回收站"加密, 现在不在回收站了, 在哪里呢?)
和"磁盘加密"(就是前面网友求助的问题)
6. 本地文件夹加密, 破解成功

a. 用total commander, show菜单, options, display, "show system files"

b. 进入c:
ecycler, 进入某子目录, "INFO2",
它的子目录就是移动过来的各个"加密"文件夹

c. shift选中这些文件夹, copy到TC右边栏里面

d. 退出, 用文件管理器, 即可访问"解密"的文件夹

//debug过程:
a. 硬盘搜索thumbs.dn, *.mem, 找不到东西
b. 用leapftp, 查看c:
ecycler, 发现"不可显示"的子目录 （感谢文章…)
c. 用filemon (from 1exe), 过滤recycler, 确认加密/解密过程中,有对recycler读写操作
d. 用McAfee, 对垃圾箱 查毒, 发现加密文件被依次扫描过…
(呵呵, 我一开始就想… "加密"一个病毒, 然后用杀毒软件把它揪出来…)
e. 用totalcommander, 显示系统文件, 进入recycler, 子目录可见&可复制出来

//呵呵, 移动加密, 和本地加密都解开了, 隐藏加密同本地加密;; 还剩硬盘加密

7. last … and LEAST, 整盘 加密

加密方法, 是在"高级选项"里面, 点击盘符, 隐藏
这个非常ft…

事实上既没有移动, 又没有改名, 而是像windows优化大师一样, 把盘符隐藏起来了!

"解密"方法:
a. 文件管理器, 直接输入盘符, 即可进入…
b. total commander, 下拉框不受隐藏限制, 直接可以看到"隐藏"的盘符
c. 启动这个软件, 在高级选项里面, 再钩掉不要隐藏的盘符…

//comment, 晕…

确认 移动加密 方法是, 用leapftp观看D盘,
查看是否有子目录Thumbs.dn隐藏, 里面包含*.mem文件, 有的话copy出来改名

确认 本地加密 方法是, 用total commander, options, display打开隐藏文件
然后查看D:
ecycler下面有没有大目录, 有的话copy出来就好了.

不像隐藏盘符, 因为那样仍然能访问

再次建议, 不要用这个软件