[教程资料]一键加密原理分析及数据恢复 [复制链接]

于是乎下载下来这个软件，新建了一个FAT16分区，进行数据分析。
下图是拷入一些数据后的截图：


根目录截图，只有一个文件夹“SweetScape”


文件夹“SweetScape”里面的内容，有两个文件夹和加密程序


“010 Scripts”文件夹中的内容


“010 Templates”文件夹中的内容
==========================================================================================
下面开始分析加密前的数据在磁盘上的分布情况：
用winhex加载这个磁盘：先查看DBR看下图：


可以看出每簇4个扇区，FAT表占用204个扇区，共2个fat表，保留8个扇区，根目录有512个项目。
下面是FAT表的数据：


fat表第一部分


fat表第二部分
由于fat表比较大，占用多于一个扇区，所以分两个上传。
现在转到根目录查看一下（点击Root directory）：


可以看出现在根目录有两个目录项（一个是长文件名一个是短文件名），共同记录了SweetScape这个目录。开始于448扇区。
点击图中蓝色部分，出现448扇区的数据。如下图：


一个8个目录项，记录了3个文件/文件夹的数据。
双击蓝色部分进入SweetScape目录



可以看出，有三个文件/文件夹。
“010 Scripts”开始于456扇区。大小4kb（占用2个簇）
“010 Templates”开始于452扇区。大小2kb（占用1个簇）
“SetLock.exe”开始于616扇区。

下面进入“010 Scripts”这个文件夹。如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_bd3f2749c36a6ce.jpg[/img]
图中是这个目录下所以文件的信息。包括文件大小，时间，属性，文件开始扇区。
下面进入“010 Templates”这个文件夹。如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_33b69b008ffef93.jpg[/img]
由于这个文件夹里面没有东西。只有两项：
十六进制区 “.” 代表本目录信息
“..”代表上级目录信息
=================================================================
副：“010 Scripts”的十六进制数据：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_04184f1723200f7.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_67cb525e8eb58d4.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_78f3bce8d8d8111.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_5cd46fa8261395f.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_c7911a3de508cd8.jpg[/img]
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<磁盘上基于文件系统的数据分析到处为止>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

然后用setlock.exe加个密码（现在已经忘了密码了，晕一个）
看看根目录的文件：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_4db61f4e9f3912a.jpg[/img]
根目录多了个回收站图标的slkEpt文件夹，具有只读，隐藏，系统属性。

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_aff61e440b4c1a1.jpg[/img]
SweetScape目录现在的文件只有三个文件，里面原来的文件夹都没有了，有两个新建的文件（这两个文件一会儿分析）。


[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_6cce0decc51224a.jpg[/img]
在dos下用attrib命令输出的显示。注意slkEpt文件夹里的东东。
看看在dos下能不能访问。

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_3c45b3edda0da70.jpg[/img]
访问出错了。
常规软件解决不了了。
用http://bbs.crsky.com/read.php?tid=2337444#25467510的软件重命名如下图可以看到原加密目录下的文件了。

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_9aaa27a71661100.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_b5c872580e7d83a.jpg[/img]
现在dos下访问如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_5b0b74c19ff7aa2.jpg[/img]
文件名都不正常了。但是有总比没有强吧。
copy出来

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_cc26432048d12aa.jpg[/img]到d:\1\目录。
看数据如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_00b1fba15536176.jpg[/img]
ok。简单恢复。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<下面看怎么通过文件系统找到文件名>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
winhex打开分区，
转向根目录如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_4fed1a213d21b64.jpg[/img]
有两个目录，和在资源管理器看得到一样。

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_836df54b025e160.jpg[/img]
fat表第一部分

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_fdf3270685305d1.jpg[/img]
fat表第二部分
SweetScape内容，如下图

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_bc803896c8fcdae.jpg[/img]
SweetScape内容里的十六进制数据，如下图

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_0b29198b280cd88.jpg[/img]
SweetScape子文件，如下图

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_eb2713bd2ab333d.jpg[/img]
三个删除目录，三个正常文件（就是在资源管理器中看到的三个文件）
注意：有一个以前没有的目录“OneKey-04-09-23-25-01”
打开“x010 scripts”文件夹（这是个删除的文件夹），如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_cababe223169de7.jpg[/img]
空空的，什么也没有。
=================================================================
副：对比以前“010 Scripts”的十六进制数据：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_bcf37bdf62ff8cb.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_fb4fd55234e7161.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_c1fa66785dad273.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_d76f3d6363caebd.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_957906f9d260d3f.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_9e3c970f449f821.jpg[/img]
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
现在看看“system.db”和“一键解密(勿删).slk”的内容：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_7c74dd3b22aa5bc.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_0dc44a034019b65.jpg[/img]
发现内容一模一样。如果“一键解密(勿删).slk”没有了，可以直接把“system.db”改名为“一键解密(勿删).slk”。

看下删除后的文件夹“xOneKey-04-09-23-25-01”的内容如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_089287cdc88f359.jpg[/img]
这个文件夹删除前位于2000扇区。里面有一个“com”文件夹和一个“desktop.ini”文件。先记下这个文件夹。

分析完了，现在到加密的目录“slkEpt”中去：如下图：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_481ef5be7c19cc4.jpg[/img]
可以看出这个文件夹包括一个目录(短文件名为“onekey~1”，长文件名为“OneKey-04-09-23-25-01”）和一个文件“desktop.ini”

“OneKey-04-09-23-25-01”目录的内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_2ba13290fa70d82.jpg[/img]
它包括一个文件夹“com”和一个文件“desktop.ini”
文件夹“com”内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_be0c2e69905383c.jpg[/img]
它包括一个文件夹（长文件名为“0xEA002E”，短文件名为“êE2AE~1”）和一个文件“desktop.ini”
这里长短文件名不符合，这就是特殊文件夹的来处。
但是通过讨取它的短文件名中记录的簇数可以定位这个文件夹中的数据。
在资源管理器中显示的是长文件名。

特殊目录的内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_df017bb399c758a.jpg[/img]
这里包括两个文件“slk.db”“ps.fod”和一个文件夹“recycle.db”
这两个文件的内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_889cb75a91cb094.jpg[/img]
ps.fod文件的内容。这个估计是密码的加密后的内容。不知道是怎么换算来的。

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_5a685707e3e591a.jpg[/img]
slk.db文件的内容。记录了加密目录的一些信息和记录保存加密文件的位置。包括文件名的转换
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
副：slk.db文件的详细内容

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_785a9a04247c9ef.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_1fc1b57c6bd8b32.jpg[/img]
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
“recycle.db”内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_48183cbfe2be497.jpg[/img]
里面包括两个文件夹“010 Scripts”“010 Templates”
“010 Scripts”内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_a9e29b845ff4fba.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_258c19eab0ea74b.jpg[/img]
“010 Scripts”详细内容就是上图
“010 Templates”内容如下：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_6c9fddcc62fe529.jpg[/img]
============================================================================================
按文件名排序，如下图：
可以得到文件名而不是改名后的文件：

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_7673eb823316ec0.jpg[/img]
ok,正常打开：如下图

[img]http://bbs.crsky.com/1236983883/Mon_1204/6_210844_a423f7a98be3b36.jpg[/img]


原理：加密后在本目录下建立一个类似于OneKey-04-09-23-25-01的文件夹，并记录密码同时把本目录下的文件更名并保存以前的名字。
然后移动到根目录下的一个回收站图标的文件夹下。这个文件夹有一个dos打不开的文件夹，阻止用dos访问子目录。
恢复是可以用winhex直接提取里面的文件。要先要原文件名的话，只要重新按文件名排列就可以了。选中右键保存。EasyRecovery Pro 6.0 中文版 easyrecovery中文版破解 数据恢复软件easyrecovery破解版| http://www.3dch.net/read-htm-tid-369793.html