当前位置:在几个月前,用了E钻文件夹加密大师来加密移动硬盘中的文件夹。之所以用它是因为它宣称能是瞬间加密上G的数据,这显然比用rar压缩加密来得快很多!
这就是那个软件的基本界面和属性。当时一想,毕竟是一个公司开发的,应该没什么问题,测试了文件夹,感觉还行,于是就用上了。
突然有一天,进行磁盘清理。*.db的文件也全部删除了!再突然有一天要用加密了的文件的时候,发现悲剧发生了——解密之后目录是空的!仔细看了一下目录,那个Thumbs.db是新生成的,也是这个时候才知道删了db文件导致的。
看一下磁盘属性,使用空间70多G,再统计磁盘里所有的目录,却只有40多G,也就是说那加密的30多G存在磁盘上,只是windows找不到它了。这种情况就比数据完全丢失好多了!
在cmd中跟着目录打开到system.就无法打开了,知道system.就是system..\这样格式的目录,但是就是打不开(不知道是不是在vista下的原因,XP中cmd是可以打开它的)。又下载了一个finaldata来试试,发现了加密的文件就在里面,于是恢复了出来。
finaldata看到的效果如下,原来的目录已经被恢复了,新加密了一个做测试。
【来看看这个自称很NB的软件是多么的脆弱,用的还是4.6版本!】
先加密一个文件夹,加密之后看到的情况(显示系统文件、隐藏文件):
下面的cmd中的一些操作(粗体为输入的命令,红色为注释):
F:\>cd E钻文件夹加密测试
F:\E钻文件夹加密测试>cd Thumbs.db
F:\E钻文件夹加密测试\Thumbs.db>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db 的目录
2010/05/17 08:20
2010/05/17 08:20
2010/05/17 08:20 65 desktop.ini
2010/05/17 08:20
1 个文件 65 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db>cd sys # 利用[TAB]键补全命令,空格就暴露出来了
F:\E钻文件夹加密测试\Thumbs.db\sys >dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db\sys 的目录
2010/05/17 08:20
2010/05/17 08:20
2010/05/17 08:20
0 个文件 0 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db\sys >dir /x /a # 显示短目录
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db\sys 的目录
2010/05/17 08:20
2010/05/17 08:20
2010/05/17 08:20
0 个文件 0 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db\sys >ren SYSTEM~1 A #利用这个精确的短目录来将文件夹重命名
F:\E钻文件夹加密测试\Thumbs.db\sys >dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db\sys 的目录
2010/05/17 08:53
2010/05/17 08:53
2010/05/17 08:20
0 个文件 0 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db\sys >cd A
F:\E钻文件夹加密测试\Thumbs.db\sys \A>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db\sys \A 的目录
2010/05/17 08:20
2010/05/17 08:20
2010/05/17 08:20 0 dir.fod
2010/05/17 08:20 14 file.fod
2010/05/17 08:20 24 ps.fod
2010/05/17 08:20
652} # 软件作者对加密文件夹的又一次伪装,并加入了一些fod文件,或许他认为这会更安全
3 个文件 38 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db\sys \A>ren "Thumbs.db.{d3e34b21-9d75-101a-8c3d
-00aa001a1652}" B # 继续将系统样子的文件夹重命名,拆掉伪装
F:\E钻文件夹加密测试\Thumbs.db\sys \A>cd b
F:\E钻文件夹加密测试\Thumbs.db\sys \A\B>dir
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\Thumbs.db\sys \A\B 的目录
2010/05/17 08:20
2010/05/17 08:20
2010/05/17 08:20 6 测试文档.txt # 这就是“加密了”的文件,原样的呆在这里,软件作者啊,你笑了没有啊!
1 个文件 6 字节
2 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\Thumbs.db\sys \A\B>
【以下就是只用cmd命令破解E钻加密的全部过程】
F:\E钻文件夹加密测试>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 09:16 77 desktop.ini
2010/05/17 09:16
2010/03/06 17:18 371,712 解密加密.exe
2 个文件 371,789 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试>attrib -s -h Thumbs.db
F:\E钻文件夹加密测试>ren Thumbs.db a
F:\E钻文件夹加密测试>cd a
F:\E钻文件夹加密测试\a>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\a 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 09:16 65 desktop.ini
2010/05/17 09:16
1 个文件 65 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\a>ren sys b
F:\E钻文件夹加密测试\a>cd b
F:\E钻文件夹加密测试\a\b>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\a\b 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 09:16
0 个文件 0 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\a\b>dir /x /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\a\b 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 09:16
0 个文件 0 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\a\b>ren SYSTEM~1 c
F:\E钻文件夹加密测试\a\b>cd c
F:\E钻文件夹加密测试\a\b\c>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\a\b\c 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 09:16 0 dir.fod
2010/05/17 09:16 14 file.fod
2010/05/17 09:16 22 ps.fod
2010/05/17 09:16
652}
3 个文件 36 字节
3 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\a\b\c>ren "Thumbs.db.{d3e34b21-9d75-101a-8c3d-00aa001a1652}
" d
F:\E钻文件夹加密测试\a\b\c>cd d
F:\E钻文件夹加密测试\a\b\c\d>dir /a
驱动器 F 中的卷是 F
卷的序列号是 2004-C7A4
F:\E钻文件夹加密测试\a\b\c\d 的目录
2010/05/17 09:16
2010/05/17 09:16
2010/05/17 08:20 6 测试文档.txt
1 个文件 6 字节
2 个目录 78,583,209,984 可用字节
F:\E钻文件夹加密测试\a\b\c\d>
这个时候就在windows的资源管理器中都可以随便的操作了!
【另外,生成的RECYCLER文件夹删除】
目录中包含如上的一个目录,无法删除,甚至是文件粉碎器都无法找到它!
一看这个目录的名称,很奇怪,竟然包含乱码!复制乱码粘贴下来,不顶用!猜想这个目录的名称应该是用硬编码写在程序代码中的,可能是包含类似'\b'之类的字符,但是具体是啥,我们当然不得而知!
就在貌似山重水复疑无路的时候,戏剧性的一幕就发生了,竟然还是就用cmd就搞定了。如下:
