問題分析

　　針對這個情況，筆者首先查看了被加密的幾個磁盤空間，發(fā)現(xiàn)磁盤空間與加密前相比并沒有減少。筆者確認(rèn)磁盤數(shù)據(jù)并沒有丟失，但被別有用心的人用軟件加密了。筆者啟動瑞星2006查殺病毒，沒有發(fā)現(xiàn)病毒，在用瑞星2006掃描D和E盤時，都掃描到了筆者保存在磁盤中的文件夾和文件，只不過它們都保存在一個名為“Thumbs.dn”的文件夾中。但從“我的電腦”打開相應(yīng)的磁盤卻無法查看到這個文件夾，因此無法獲取存放在磁盤中的資料。

　　筆者以前曾用WinRAR查看過隱藏在磁盤中的文件夾和文件。能不能通過WinRAR找到隱藏的“Thumbs.dn”文件夾呢？筆者打開WinRAR，利用“文件”菜單中的“改變驅(qū)動器”切換至F盤。在WinRAR主窗口中，F(xiàn)盤中包括“Thumbs.dn”在內(nèi)的所有隱藏對象都顯示出來了（圖2）。

　　通過查找相關(guān)資料獲悉，“磁盤加密王”實(shí)際是一款名為“高強(qiáng)度文件夾加密大師”磁盤加密軟件。它不受系統(tǒng)影響，沒有解密密碼即使系統(tǒng)重裝、Ghost還原，數(shù)據(jù)也依然加密。所以，沒有密碼一般不易破解。

　　加密原理

　　經(jīng)過筆者的分析，“高強(qiáng)度文件夾加密大師”對文件夾及文件加密時，實(shí)質(zhì)是對文件夾和文件的名稱進(jìn)行了加密處理，文件夾和文件本身內(nèi)容并沒有改變。

　　對文件夾進(jìn)行加密時，軟件對加密路徑下的所有文件夾進(jìn)行了改名處理，將原來的文件夾名稱為以數(shù)字“1~m”（m個文件夾）為序重新命名，并在每個文件夾的數(shù)字名稱后加上代碼“.”。此代碼是打印機(jī)系統(tǒng)文件夾的代碼，因此，解密文件夾時必須要將此代碼刪除，否則得到的就是打印機(jī)的圖標(biāo)（圖3）。

　　對文件的加密，軟件同樣是以數(shù)字為序?qū)ξ募�名采取了改名處理，將所有文件名主名改名為�?~n”（n個文件），擴(kuò)展名改為“.mem”。

　　在“Thumbs.dn”文件夾中，有兩個文件值得我們注意，即“117789687”和“117789687list.mem”，這兩個文件存放的是密碼相關(guān)信息。其中，“117789687list.mem”文件存放的是加密前文件夾及文件的名稱數(shù)據(jù)及與加密后文件夾和文件名稱對應(yīng)關(guān)系等信息。不過，軟件開發(fā)者已經(jīng)對這兩個文件的數(shù)據(jù)進(jìn)行了算法處理，沒有軟件開發(fā)者提供的密碼表，我們無法獲取密碼信息。另外，在“%systemroot%\\system32\\”下有這樣一個文件“danine.dll”，它記錄了軟件目前已經(jīng)加密了哪些磁盤和文件夾信息，用“記事本”可以直接打開查看。

　　解密文件夾

　　打開WinRAR，依次單擊“文件→改變驅(qū)動器→F”，切換至需要解密的磁盤。在WinRAR主窗口中，雙擊“Thumbs.dn”，打開該文件夾。此文件夾中，我們發(fā)現(xiàn)保存在F盤上的所有文件夾。將每個文件夾名稱數(shù)字序號后的“.”代碼刪除。然后，選中所有文件夾，單擊工具欄中的“添加”按鈕，將這些文件夾壓縮成一個文件存放至E盤。最后，解壓此壓縮文件即得到所有存放在F盤中的文件夾及保存在文件夾中的文件。

　　解密文件

　　解密存放在磁盤根目錄下的文件，我們要判斷文件是否為RAR類型的文件，分兩種情況進(jìn)行。

　　1.RAR類型的文件

　　這類文件，我們只要直接選中它，單擊工具欄中的“解壓至”，然后選擇文件解壓存放的路徑，將文件直接解壓，實(shí)現(xiàn)解密。

　　2.非RAR類型的文件

　　對這類文件解密起來麻煩一些。首先，根據(jù)文件長度回憶原文件的類型。如果實(shí)在想不起來，你可以試試“文件夾嗅探器”，嗅探根目錄下的所有“.mem”文件，單擊工具欄中的測試文件類型工具，測試得出該文件的類型。然后，打開WinRAR，將該文件名的擴(kuò)展名“.mem”改為原文件類型的擴(kuò)展名。最后，用工具欄中的“添加”按鈕，將此文件壓縮打包存放至合適的位置，再解包得到原文件。