最新消息:

羽夏逆向破解日记簿——文件夹加密大师的逆向分析

博客园首页 William 1浏览 0评论

前言

??文件夹加密大师是一个工具,通过移动加密的方式实现保护文件夹原文件。这个软件是我从老爸电脑上拷贝的。小时候觉得挺神奇的,也找不到文件在哪里。现在我们一探究竟,移动加密到底是何方神圣。移动加密是怎么加密,如何解密的。这软件好像从网上找不到了,会在文章中提供下载链接。使用时建议使用管理员权限启动,否则加密和解密操作会弹出烦人的无法创建dll错误。这个dll也不是啥正常dll,而是存储程序运行路径的普通文本文件,只是用dll后缀表示而已,没啥用处。本篇的重点是分析一下它是如何加密的,如何解密的。

主角和工具

探测

??加密效果如下图所示(其实我觉得你能猜到我输入的密码是什么):

??既然是加密并且能够还原,它必须存在,只是咱没有看到而已,我们使用XYExplorer查看。它是一个十分强大的工具,任何隐藏文件都能看到,如下图所示加密后的情况:

??解密效果如下图所示:

初步分析

??既然工具使用已经探测完毕了,我们来进入分析环节。先用Detect it easy 1.01探测一下:

??可以检测到是Delphi写的,加了一个UPX壳。UPX壳是压缩壳,只是用来压缩体积软件体积用的,并没有其他任何用途。它将压缩后的代码解压后会直接跳到主程序代码,不会对堆栈造成任何影响。可以用UPX解压工具进行解压,也可以根据堆栈平衡原理手脱。手动脱壳就不介绍了,这个不是本篇的重点,就拿CFF Explorer附加的UPX Utility进行解压保存得到。它是一个分析PE结构的一个工具,不过拿来脱UPX壳有点大材小用。
??由于是Delphi写的,它有自己的特色,通过PE Explorer可以查得它具有一个窗体,名叫TForm1,点击资源查看可以查看它的资源,找到关键函数。

??然后把它拖到IDA中,等待其分析完毕后,得到如下结果:

??直接在函数列表搜索Button1Click,找到正确的函数,然后F5一下,看看大体的执行流程,如下图所示:

??然后大体分析一下,找到疑似为加密伪代码片:

System::__linkproc__ LStrCat(&System__AnsiString, &str_Thumbs_dn__4[1]);
if ( !Sysutils::DirectoryExists(System__AnsiString) )
{
  sub_402910(System__AnsiString);
  Sysutils::FileSetAttr(System__AnsiString, 7u);
}
(*(*dword_4B0DBC + 68))(dword_4B0DBC);
Controls::TControl::GetText(*(v60 + 194));
TForm1_jiami3(v60, v49, &v50);
v16 = v50;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, v16, v51);
sub_4AB9A8(v55, System__AnsiString);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v45);
TForm1_jiami3(v60, v45, &v46);
v16 = v46;
System::__linkproc__ LStrCat3(&v44, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v44, v16, v47);
sub_4ABD0C(v55, System__AnsiString);
sub_40B214(v55, &v43);
System::__linkproc__ LStrLAsg(&v55, v43);
v16 = &str___ShellClassInf[1];
v4 = sub_4AB95C(&str_Folder[1], &str_______1[1]);
unknown_libname_78(&v42, v4);
v15 = v42;
v14 = &str____10[1];
unknown_libname_912(*off_4AF5CC, v41);
Sysutils::ExtractFileName(v41[0]);
System::__linkproc__ LStrCatN(
  &v58,
  9,
  v5,
  v15,
  &str____10[1],
  &str_IconIndex_2[1],
  &str____10[1],
  &str_IconFile_[1],
  v41[1],
  &str____10[1],
  &str_ConfirmFileOp_1[1]);
System::__linkproc__ LStrLAsg(&v57, &str___ShellClassInf_0[1]);
System::__linkproc__ LStrCat3(&v39, v55, &str_desktop_ini[1]);
sub_4AB4BC(v39, v58, v40);
System::__linkproc__ LStrCat3(&v37, System__AnsiString, &str_desktop_ini[1]);
sub_4AB4BC(v37, v57, v38);
System::__linkproc__ LStrCat3(&v36, System__AnsiString, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v36, 7u);
System::__linkproc__ LStrCat3(&v35, v55, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v35, 7u);
Sysutils::FileSetAttr(v55, 1u);
Classes::TStrings::Append(dword_4B0DB8, v55);
sub_4AC734(&v34);
System::__linkproc__ LStrCat(&v34, &str_danine_dll[1]);
(*(*dword_4B0DB8 + 116))(dword_4B0DB8, v34);
Forms::TCustomForm::Close(v60);

??通过编程经验,System::__linkproc__ LStrCat函数等函数名相似的函数就是来连接字符串的。我们也看到熟悉的中国式命名函数方式的函数TForm1_jiami3,直接把一个疑似加密的函数给暴露了,真是“加密”的拼音啊。

??然后我们在看一看它使用的关键字符串:

??我之前一直在强调伪代码的不准确性。为了保证伪代码的进一步准确性,我们点击TForm1_jiami3加密函数查看一下伪代码,查看所谓的加密过程,返回再F5一下。既然点开了,那就分析一下:

int __usercall TForm1_jiami3@(int a1@, int a2@, int a3@, int a4@, int a5@)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  v16 = 0;
  v15 = 0;
  v14 = 0;
  v13 = a3;
  v12 = a5;
  v11 = a4;
  v17 = a2;
  v18 = a1;
  System::__linkproc__ LStrAddRef(a1);
  v10 = &savedregs;
  v9[1] = &loc_4ADBFD;
  v9[0] = NtCurrentTeb()->NtTib.ExceptionList;
  __writefsdword(0, v9);
  v5 = 1;
  v6 = unknown_libname_82(v18);
  if ( v6 > 0 )
  {
    v7 = 1;
    do
    {
      v5 ^= 1u;
      if ( v5 )
      {
        Sysutils::IntToHex(*(v18 + v7 - 1) ^ 4, 2);
        System::__linkproc__ LStrCat(&v16, v15);
      }
      else
      {
        Sysutils::IntToHex(*(v18 + v7 - 1) ^ 5, 2);
        System::__linkproc__ LStrCat(&v16, v14);
      }
      ++v7;
      --v6;
    }
    while ( v6 );
  }
  System::__linkproc__ LStrCat3(v17, &str___35[1], v16);
  __writefsdword(0, v9[0]);
  v10 = &loc_4ADC04;
  System::__linkproc__ LStrArrayClr(&v14, 3);
  return System::__linkproc__ LStrClr(&v18);
}

??输入的必然是字符串,如果加密字符串,必然会读取每个字符。通过这个编程经验,可以暂定v18即参数a1是我们传递的待加密字符串。

??从目前看,程序加密时,会通过Controls::TControl::GetText这个函数获取你输入的明文密码,存放到*(v60 + 194)这个地址中,v60必定是这个窗体类的一个部分或者直接是这个窗体类。获取后传递到TForm1_jiami3加密函数进行加密通过v50这个参数传递出去,v17即参数a2就是获得加密后的字符串。加密过程就是逐个字符取出,然后交替用54进行异或,然后转换为两个字符的字符串,依次连接,再最终结果连接到str___35字符串后面,我们来看看这个字符串到底是什么。

??可以看出,这个字符串不能够正常显示,它如果表示就是/x02。这个加密过程我们就清晰了。
??然后返回看看,发现原来的伪代码变了。然后再把没函数名的点击一下然后返回,最终是这个样子:

System::__linkproc__ LStrCat(&System__AnsiString, &str_Thumbs_dn__4[1]);
if ( !Sysutils::DirectoryExists(System__AnsiString) )
{
  sub_402910(System__AnsiString);
  Sysutils::FileSetAttr(System__AnsiString, 7u);
}
(*(*dword_4B0DBC + 68))(dword_4B0DBC);
Controls::TControl::GetText(*(v59 + 194));
TForm1_jiami3(v49, &v50, a2, a3, a4);
v19 = v50;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, v19);
sub_4AB9A8(v54, System__AnsiString, a2);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
v19 = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, v19);
sub_4ABD0C(v54, System__AnsiString, a2);
sub_40B214(v54, &v44);
System::__linkproc__ LStrLAsg(&v54, v44);
v19 = &str___ShellClassInf[1];
v7 = sub_4AB95C(&str_Folder[1], &str_______1[1]);
unknown_libname_78(&v43, v7);
v18 = v43;
v17 = &str____10[1];
unknown_libname_912(*off_4AF5CC, v42);
Sysutils::ExtractFileName(v42[0]);
System::__linkproc__ LStrCatN(
  &v57,
  9,
  v8,
  v18,
  &str____10[1],
  &str_IconIndex_2[1],
  &str____10[1],
  &str_IconFile_[1],
  v42[1],
  &str____10[1],
  &str_ConfirmFileOp_1[1]);
System::__linkproc__ LStrLAsg(&v56, &str___ShellClassInf_0[1]);
System::__linkproc__ LStrCat3(&v41, v54, &str_desktop_ini[1]);
sub_4AB4BC(v41, v57);
System::__linkproc__ LStrCat3(&v40, System__AnsiString, &str_desktop_ini[1]);
sub_4AB4BC(v40, v56);
System::__linkproc__ LStrCat3(&v39, System__AnsiString, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v39, 7u);
System::__linkproc__ LStrCat3(&v38, v54, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v38, 7u);
Sysutils::FileSetAttr(v54, 1u);
Classes::TStrings::Append(dword_4B0DB8, v54);
sub_4AC734(&v37);
System::__linkproc__ LStrCat(&v37, &str_danine_dll[1]);
(*(*dword_4B0DB8 + 116))(dword_4B0DB8, v37);
Forms::TCustomForm::Close(v59);

??然后我们继续接着Controls::TControl::GetText(*(v59 + 194));这条代码后面讲解。发现函数调用过程跟我们的猜测完全一致,注释如下:

Controls::TControl::GetText(*(v59 + 194));// 获取明文密码
TForm1_jiami3(input, &enstr, a2, a3, a4);// 进行加密操作
buffer = enstr;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, buffer);

??根据探测,先推测这个是一个写文件的函数,因为v48推测是一个文件路径,还有传入存有加密字符串的buffer。我们双击这个函数查看如下所示:

int __fastcall sub_4AB4BC(int a1, int a2)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  v7 = a2;
  v8 = a1;
  System::__linkproc__ LStrAddRef(a1);
  System::__linkproc__ LStrAddRef(v7);
  v5 = &savedregs;
  v4[1] = &loc_4AB543;
  v4[0] = NtCurrentTeb()->NtTib.ExceptionList;
  __writefsdword(0, v4);
  *off_4AF66C = 2;
  System::__linkproc__ Assign(v6, v8);
  System::__linkproc__ RewritText(v6);
  v2 = sub_404CB0(v6, v7);
  System::__linkproc__ Flush(v2);
  System::__linkproc__ Close(v6);
  __writefsdword(0, v4[0]);
  v5 = &loc_4AB54A;
  return System::__linkproc__ LStrArrayClr(&v7, 2);
}

??这不用多说,编写过读写文件编程的人都知道这个函数的功能了吧?
??然后继续分析下一个代码片

sub_4AB9A8(v54, System__AnsiString, a2);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
v19 = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, v19);

??sub_4AB9A8这个函数不知道是干啥的,然后(*(*dword_4B0DBC + 28))这个函数连名字都没有,也不知道。但我们可以根据前面的分析肯定。v46就是待加密的字符串,v47就是加密后的字符串,然后通过sub_4AB4BC函数写入文件中。(*(*dword_4B0DBC + 28))这个函数干啥只能在动态调试中分析了,我们先分析sub_4AB9A8这个函数:

int __usercall sub_4AB9A8@(void *a1@, int a2@, int a3@)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  v14 = 0;
  v15 = 0;
  v16 = 0;
  v18 = 0;
  v17 = 0;
  v19 = 0;
  v23 = 0;
  v24 = a2;
  v25 = a1;
  System::__linkproc__ LStrAddRef(a1);
  System::__linkproc__ LStrAddRef(v24);
  unknown_libname_89(FatTime, &byte_407C18);
  v12 = &savedregs;
  v11 = &loc_4ABC29;
  v10 = NtCurrentTeb()->NtTib.ExceptionList;
  __writefsdword(0, &v10);
  (*(*dword_4B0DBC + 68))(dword_4B0DBC, *dword_4B0DBC);
  v3 = 0;
  v4 = unknown_libname_82(v25);
  v5 = *(v25 + v4 - 1) - 47;
  if ( v5 && v5 != 45 )
    System::__linkproc__ LStrCat(&v25, &str___30[1]);
  v6 = unknown_libname_82(v24);
  v7 = *(v24 + v6 - 1) - 47;
  if ( v7 && v7 != 45 )
    System::__linkproc__ LStrCat(&v24, &str___30[1]);
  System::__linkproc__ LStrCat3(&v19, v25, &str___31[1]);
  if ( !Sysutils::FindFirst(v19, 63, FatTime) )
  {
    do
    {
      System::__linkproc__ LStrCmp(System__AnsiString, &str____0[1]);
      if ( !v8 )
      {
        System::__linkproc__ LStrCmp(System__AnsiString, &str___6[1]);
        if ( !v8 )
        {
          unknown_libname_912(*off_4AF5CC, &v17);
          Sysutils::ExtractFileName(v17);
          System::__linkproc__ LStrCmp(System__AnsiString, v18);
          if ( !v8 )
          {
            System::__linkproc__ LStrCmp(System__AnsiString, &str___exesoft_0[1]);
            if ( !v8 )
            {
              sub_40B268(&str_Thumbs_dn__1[1]);
              System::__linkproc__ LStrCmp(System__AnsiString, v16);
              if ( !v8 )
              {
                System::__linkproc__ LStrCmp(System__AnsiString, &str__________exe_0[1]);
                if ( !v8 )
                {
                  System::__linkproc__ LStrCmp(System__AnsiString, &str_System_Volume_I[1]);
                  if ( !v8 )
                  {
                    ++v3;
                    Classes::TStrings::Append(dword_4B0DBC, System__AnsiString);
                    if ( (v21 & 0x10) == 16 )
                    {
                      Sysutils::IntToStr(v3);
                      System::__linkproc__ LStrCat3(&v23, v15, &str___2227a280_3aea[1]);
                    }
                    else
                    {
                      Sysutils::IntToStr(v3);
                      System::__linkproc__ LStrCat3(&v23, v14, &str__mem[1]);
                    }
                    Classes::TStrings::Append(dword_4B0DBC, v23);
                  }
                }
              }
            }
          }
        }
      }
    }
    while ( !Sysutils::FindNext(FatTime) );
    Sysutils::FindClose(FatTime);
  }
  __writefsdword(0, v11);
  v13 = &loc_4ABC30;
  System::__linkproc__ LStrArrayClr(&v14, 6);
  System::__linkproc__ FinalizeRecord(FatTime, &byte_407C18);
  System::__linkproc__ LStrArrayClr(&v23, 3);
  return a3;
}

??虽然有很多大量我不知道的东西,但可以明确知道它是在遍历文件,如果是我想要的文件就贴在dword_4B0DBC这个字符串后面。我们可以确定这个是存储遍历后的字符串信息,把它定义为files,然后返回,发现伪代码发生了一些变化。

sub_4AB9A8(v54, System__AnsiString, a2);
(*(*files + 28))(files, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
buffer = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, buffer);

??我们发现没有函数名的变成了有些意义的东西,剩下的转交给我们的X32Dbg,在合适的地方下断点,定位到我们有疑点的地方:

??这个函数是用来写文件的,是我们之前推测判定的,通过XYExplorer成功验证:

??分析到那个名字不知道的函数,根据IDA和结果跟踪发现是Classes::TStrings::GetTextStr这个函数:

??执行完这个函数,发现返回值是一个相当长的字符串,为了清晰,我们再跟一步:

??然后我们再从内存窗口观察参数,如下图所示,清晰明了。

??最终经过TForm1_jiami3函数加密,然后写到文件里面。可以看出这个是存储加密文件信息的,存储着文件名。
??后面的就不再领大家继续分析了。我就大体说一下,后面是开始写desktop.ini。这个文件是用来个性化文件夹,再赋予合适的属性,以实现隐藏。然后把待加密的文件挪到Thumbs.dn这个文件夹。创建Dll,直接写入当前文件目录路径,最终加密结束。

反制还原

??由于加密机制十分简单,我们完全可以进行解密反制。我们不光可以获取它的密码,甚至把文件都给还原回去。我们通过C++进行,有关字符串的解密措施可以写出如下函数:

void CulockCrackerDlg::Decode(BYTE* encryptedData, INT bufferlen, CHAR* out)
{
    BOOL b = FALSE;
    BYTE item;

    int i = 0;
    int h, l;
    for (; i = '0' && h = '0' && l 

??为什么代码看起来有点怪怪的呢?因为我创建了一个俗称没饭吃(MFC)的项目。我写的项目已经完成了解密密码和还原加密的功能。这里我只贴核心代码,剩下的自己还是写一写吧。
??接下来我们解密密码:

void CulockCrackerDlg::OnBnClickedBtnGetPwd()
{
    UpdateData();    //更新folderName,这个存储的是文本框内的值
                     //folderName存储是被加密的文件夹
    WCHAR pathbuffer[MAX_PATH + 1];
    INT len = folderName.GetLength();
    folderName.CopyChars(pathbuffer, MAX_PATH + 1, folderName, len);

    StrCpy(&pathbuffer[len], L"\Thumbs.dn");

    if (!DirectoryExists(pathbuffer))    //这个函数是我自定义写的,别以为库函数有
    {
        MessageBox(L"不是 ulock 移动加密的文件夹!!!", appName, MB_ICONERROR);
        return;
    }

    StrCpy(&pathbuffer[len], L"\Thumbs.dn\117789687");

    if (!FileExists(pathbuffer))    //这个函数是我自定义写的,别以为库函数有
    {
        MessageBox(L"密码文件未找到!!!", appName, MB_ICONERROR);
        return;
    }

    CFile hfile;
    if (!hfile.Open(pathbuffer, CFile::modeRead | CFile::typeBinary))
    {
        MessageBox(L"打开密码文件失败!!!", appName, MB_ICONERROR);
        return;
    }

    hfile.Seek(1, CFile::begin);    //忽略第一个字节,这个字节没用处

    UINT flen = (UINT)hfile.GetLength() - 1;
    BYTE* buffer = new BYTE[flen];
    hfile.Read(buffer, flen);
    hfile.Close();

    INT declen = flen / 2 + 1;
    CHAR* decodestring = new CHAR[declen];
    Decode(buffer, declen, decodestring);    //调用解密函数

    txtInfo.AppendFormat(L"> 文件夹密码:t%srn", CString(decodestring));
    UpdateData(0);

    delete[] decodestring;
    delete[] buffer;
}

??还原加密代码:

void CulockCrackerDlg::OnBnClickedBtnGetFiles()
{
    UpdateData();

    txtInfo.Append(L">> 正在检测是否为 ulock 加密……rn");
    UpdateData(0);

    CString encryptfolder(folderName);
    encryptfolder.Append(L"\Thumbs.dn");

    if (!DirectoryExists(encryptfolder))    //这个函数是我自定义写的,别以为库函数有
    {
        MessageBox(L"不是 ulock 移动加密的文件夹!!!", appName, MB_ICONERROR);
        ShowErr();    //展示错误信息,自定义函数
        return;
    }

    txtInfo.Append(L">> 正在获取加密文件结构信息……rn");
    UpdateData(0);

    SetCurrentDirectory(encryptfolder);

    WCHAR prefix[] = L"117789687LIST.mem";

    if (!FileExists(prefix))    //这个函数是我自定义写的,别以为库函数有
    {
        MessageBox(L"文件夹信息文件未找到!!!", appName, MB_ICONERROR);
        ShowErr();    //展示错误信息,自定义函数
        return;
    }

    CFile hfile;
    if (!hfile.Open(prefix, CFile::modeRead | CFile::typeBinary))
    {
        MessageBox(L"加密文件结构信息文件未找到!!!", appName, MB_ICONERROR);
        ShowErr();    //展示错误信息,自定义函数
        return;
    }

    hfile.Seek(1, CFile::begin);    //跳过第一个无用字节

    UINT flen = (UINT)hfile.GetLength() - 1;
    BYTE* buffer = new BYTE[flen];
    hfile.Read(buffer, flen);
    hfile.Close();

    INT declen = flen / 2 + 1;
    CHAR* decodestring = new CHAR[declen];
    Decode(buffer, declen, decodestring);    //调用解密函数

    //分割字符串,获取文件map
    stringstream ss;
    ss  files;
    string str;
    while (!ss.eof())
    {
        getline(ss, str, 'n');
        if (!str.length()) break;
        str.pop_back();    //删除最后一个字符 'r'
        files.AddTail(CString(str.c_str()));
    }

    int total = files.GetCount()/2;
    txtInfo.AppendFormat(L">> 获取成功,共有 %d 组文件rn", total);
    txtInfo.Append(L">> 开始解密……rn");
    UpdateData(0);

    auto fp = files.GetHeadPosition();

    for (int i = 0; i > 文件解密完毕,正在清理无效文件……rn");
    UpdateData(0);

    //还原文件属性,防止无法删除
    if (!SetFileAttributes(prefix, FILE_ATTRIBUTE_NORMAL)|| !DeleteFile(prefix))
    {
        txtInfo.Append(L">> 删除无效的加密文件结构信息失败,可能文件不存在或者被占用。rn");
        UpdateData(0);
    }

    prefix[9] = 0;

    //还原文件属性,防止无法删除
    if (!SetFileAttributes(prefix, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(prefix))
    {
        txtInfo.Append(L">> 删除无效的密钥文件失败,可能文件不存在或者被占用。rn");
        UpdateData(0);
    }


    WCHAR* p = L"desktop.ini";
    //还原文件属性,防止无法删除
    if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(p))
    {
        txtInfo.Append(L">> 删除无效的加密设置失败,可能文件不存在或者被占用。rn");
        UpdateData(0);
    }

    p = L"..\desktop.ini";
    //还原文件属性,防止无法删除
    if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(p))
    {
        txtInfo.Append(L">> 删除无效的加密设置失败,可能文件不存在或者被占用。rn");
        UpdateData(0);
    }

    //更改当前目录,以防 Thumbs.dn 文件夹无法删除
    SetCurrentDirectory(L"..\");
    p = L"Thumbs.dn";
    //还原文件属性,防止无法删除
    if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !RemoveDirectory(p))
    {
        txtInfo.Append(L">> 删除无效的加密文件存放区 Thumbs.dn 失败,可能文件夹被占用。rn");
        UpdateData(0);
    }

    txtInfo.Append(L">>解密完毕……rn");
    UpdateData(0);

    delete[] decodestring;
    delete[] buffer;

    MessageBox(L"解密成功!!!", appName, MB_ICONINFORMATION);
    return;
}

效果展示

??最后工具写好了,我们来看看效果:

小结

  1. 移动加密不保险,可以比较容易地被还原出来。
  2. 虽然移动加密不保险,但速度快是肯定的。如果通过加密算法保护必将降低解密和加密效率。

文章来源于互联网:羽夏逆向破解日记簿——文件夹加密大师的逆向分析

转载请注明:AspxHtml学习分享网 » 羽夏逆向破解日记簿——文件夹加密大师的逆向分析

文章评论已关闭!