Ⅰ 把手機軟體加密了又隱藏了去那裡找那個軟體
當您需要查看隱藏文件時,進入應用程序-我的文件-點擊菜單鍵-設定-顯示隱藏文件打鉤-將顯示隱藏的文件。
Ⅱ 用文件加密大師,選擇隱藏加密後,再次打開軟體時,沒有顯示隱藏加密文件夾,該怎麼辦
詳細看看或許會給你幫助!
國產某文件夾加密軟體全面分析
工具OD,DeDe,記事本,還有不知道算不算是,DOS方式下的Dir命令
軟體號稱:國防級的加密強度!讓我們看看,它的真面目吧!
1.反調試:
有兩處調用FindWindows檢查進行中是否有TDedeMainForm,和Olldby,如果有,發送WM_QUIT結束進程.
用Olldbg載入,查找FindWindows或TDedeMainForm,OllDbg,修改JE為JMP,跳過檢查.
2.次數限制:用DeDe查看DPR工程入口發現
* Possible String Reference to: '\SOFTWARE\軟體注冊信息'
004E6570 BA18714E00 mov edx, $004E7118
發現一個文件,'msimtf.dll?',注意文件名後面有空格,運行後發現,此文件是運行次數的記錄,用打早罩開一次,就+1.
由於軟體有30次限制,此文件內容記錄了運行次數,手工修改手,發現,記錄恢復,繼續跟蹤後發現,運行次數還保存在注冊表
'SOFTWARE\Macromedia\Dreamweaver\7' AutoUpdateTest中,我開始想不明白,怎麼能和Dreamweaver有返鎮關,現在明白了,
同時修改這兩處,次數限製取消了.
3.軟體運行時密碼設置:
用DeDe查看TForm7.Button1Click,發漏睜粗現,密碼保存在注冊表'\SOFTWARE\軟體注冊信息'下有
E ,設置密碼1122對應的注冊表是5566 1111對應是的5555 aabb對應的是eeff, 如果刪除E後,就不需要密碼了.這樣加密也太簡單了吧.
4.注冊碼的保存:
用Dede載入,找到注冊窗口TForm6,輸入注冊碼,首次不成功,發現調用 System.@LStrPos,檢查了注冊碼應該有-
輸入假碼1111-1111後,提示重啟後完成注冊,同時保存注冊碼信息到de.dll和注冊表'\SOFTWARE\軟體注冊信息'
注冊表生成A qffhq,B 111111-111111,C [email protected]
D 2,G 空,View 3
A為用戶名,B為注冊碼,C為郵箱+16個'g'
5.注冊碼的校驗:
找不到檢查注冊碼的入口,從次數限制入手,
次數限制時代碼如下:
004D9887 83B8B40300001E cmp dword ptr [eax+$03B4], +$1E ;比較次數是否為30次
004D988E 0F8E9B000000 jle 004D992F
004D9894 8B45FC mov eax, [ebp-$04]
* Reference to : TForm1.isright() 這個可能就是注冊檢查過程了.
004D9897 E85C5F0000 call 004DF7F8
004D989C 84C0 test al, al '直接修改al=1,開始執行加密過程,但軟體會自動注銷系統,後來發現,系統以後又檢查了,如果修改後,軟體會調用ExitWindows注銷當前系統,很有意思!
004D989E 0F858B000000 jnz 004D992F
暴破過程
過程004DF7F8
004DF860 817D F8 80020>cmp dword ptr ss:[ebp-8],280 ; 280?
004DF867 |. 75 04 jnz short SVOHOST.004DF86D
004DF869 |. C645 FF 01 mov byte ptr ss:[ebp-1],1
004DF86D |> 33C0 xor eax,eax
修改:004DF860為cmp dword ptr ss:[ebp-8],0 ; 280?
004DF860 837D F8 00 cmp dword ptr ss:[ebp-8],0 ; 280==0?
004DF864 90 nop
004DF865 90 nop
004DF866 90 nop
004DF867 |. 75 04 jnz short SVOHOST.004DF86D
.....
最後.禁用注冊標簽按鈕,用資源編輯工具修改 實現完美破解!
注銷的校驗:
004D9DA0 > \803D C8944E00>cmp byte ptr ds:[4E94C8],0
ds:[004E94C8]=01 Jump from 004D9D74
004D9DA7 . 74 0B je short SVOHOST.004D9DB4
004D9DA9 . 66:BA 0100 mov dx,1
004D9DAD . 33C0 xor eax,eax
004D9DAF . E8 C4DCF2FF call SVOHOST.00407A78 ; 注銷
6.文件夾加密原理分析:
加密過的文件列表保存在danine.dll中.
加密過程:TForm1.Button1Click
加密前的校驗:
經過密碼不能為空,兩次密碼不相符,不能加密系統目錄,桌面,我的文檔,加密軟體所在目錄等,
不能本地或隱藏加密分區根目錄,不能對網路數據進行本地或隱藏加密等檢查後,進入加密過程.
加密過程開始:
004D9DB4 > \8D85 E4FEFFFF lea eax,dword ptr ss:[ebp-11C]
004D9DBA . 50 push eax
004D9DBB . 8D95 E0FEFFFF lea edx,dword ptr ss:[ebp-120]
004D9DC1 . 8B45 FC mov eax,dword ptr ss:[ebp-4]
004D9DC4 . 8B80 B8030000 mov eax,dword ptr ds:[eax+3B8]
004D9DCA . E8 3DF7F2FF call SVOHOST.0040950C
004D9DCF . 8B95 E0FEFFFF mov edx,dword ptr ss:[ebp-120]
取回收站目錄: F:\RECYCLER\
生成文件名: F:\RECYCLED\desktop.ini,隱藏,系統文件,文件內容如下:
'[.ShellClassInfo]CLSID={645FF040-5081-101B-9F08-00AA002F954E}'
建立目錄: 'S-1-5-21-1060284298-811497611-11778920086-500\'
生成文件名: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\desktop.ini
建立目錄: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\
建立目錄: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\
查找文件是否存在(文件目錄是否加密過): F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\Support.mem 其它Support為加密的目錄名
取Support的ASCII碼"537570706F7274"
建立目錄: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\537570706F7274"
移動文件: F:\Support\* 到F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\537570706F7274"
生成文件名: F:\Support|.mem 表示F:\Support目錄加密,mem為加密類型
生成加密記錄文件名: "C:\WINNT\system32\danine.dll"
寫入加密記錄到加密記錄文件: 向C:\WINNT\system32\danine.dll中寫入F:\Support|.mem
生成加密記錄文件名: "應用程序目錄\danine.dll"
寫入加密記錄到加密記錄文件: 向 應用程序目錄\danine.dll中寫入F:\Support|.mem
生成文件: F:\Support.mem 用於解密文件目錄.
mem文件,顯示的圖標為文件夾,打開文件類型查看後發現:
注冊的文件類型:.me0-.me25,.mem 這些文件的打開方式為:"應用程序目錄\SVOHOST.EXE" unlock "%1"
最後,用戶在F:\看到了Support.mem,其實是一個文件並不是目錄!
以上是本地加密原理,對於移動型加密,我加密後,查看文件內容如下:
我對F:\qqproxy1進行了加密
加密後F:\qqproxy1\生成以下文件
文件 desktop.ini
[.ShellClassInfo]
InfoTip=文件夾
IconIndex=2
IconFile=!解密加密.exe
ConfirmFileOp=1
文件 !解密加密.exe 一個UPX加殼的EXE,可於解開加密的文件,可以脫離主程序運行.
文件夾 Thumbs.dn 內容如下:
文件 desktop.ini
[.ShellClassInfo]
CLSID={2227a280-3aea-1069-a2de-08002b30309d}
文件:117789687 117789687應該是從qqproxy1計算出來的!
文件:117789687LIST.mem 打開後是一串數字,估計是原來的F:\qqproxy1下的文件清單列表記錄對照.
文件:1.mem,2.mem,.....7.mem 是原來的F:\qqproxy1下的7個文件,只是改名了,我用記事本打開了一個,一看和原來的一樣,並且大小也沒有變化.
解密過程:
具體過程沒有分析,不過如果對加密過程清除了,解密當然就是反其道而行之了吧.
在對文件夾加密後,密碼的保存:
這部分沒有分析!
7.防刪除功能分析:
通過在Windows啟動時,載入主程序,限制用戶不能刪除文件,對本地類型的加密,一但丟失了.mem文件,及加密文件記錄,數據就沒辦法恢復了,永遠放到回收站了.
8.在Windows啟動時自動載入分析:
Userinit注冊鍵 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。這里也能夠使系統啟動時自動初始化程序。
Userinit C:\WINNT\system32\userinit.exe,,"E:\SVOH0ST\HFEE\SVOHOST.EXE" un userinit.exe
9.其它:
通過命令列參數 Lock , UnLock 用於加密,解密菜單
以上是大概的分析,加密演算法,由於水平有限,分析不了,其它好多分析用DeDe一目瞭然的!
原來看過,網上有加文件加密保護軟體的資料,好多軟體,都是用特殊文件夾,回收站,來做的,可靠性沒辦法說了!