移动存储设备的安全问题主要体现在两个方面:一是Autorun.inf病毒的问题;二是存储数据的安全。针对第一个问题,网上的防范方法数不胜数,针对第二个问题,目前的解决方法都是对U盘进行加密处理,但如果我们忘记了密码,或是因为某些特殊的原因需要搞到别人加密的数据,那是不是就需要使用OD载入程序进行“爆破”呢,答案是NO!有很多办法可以帮我们轻松搞定“失忆”的U盘!
一、加密程序将U盘数据搞到哪里去了
本文就以网上比较流行的U盘超级加密为例进行介绍,运行程序后输入初始密码888888,程序我们可以点击“设置”来修改密码,程序提供了两种加密方式,一种是全盘加密,另一种是单个文件加密。
先将我们的U盘进行全盘加密,然后通过CMD来查看U盘根目录下的内容,看看会有什么蛛丝马迹。进入相应的盘符下,运行dir/a看不到任何异常,加上/x使用8.3的命名规则来查看一下,这回发现了一个可疑的文件夹E2E2-1。进人该目录,再次执行dir/a/x,会发现一个desktop.ini和一个显示为乱码的文件夹。有的U盘加密程序的是desktop.ini和一个能认清名字的文件,这种情况我们就可以直接将相应的文件复制到其它的磁盘中。这个加密工具的特别之处就在于文件加密后给了一个乱码的名字,其实每一款U盘加密程序都不可能将文件进行真正的加密,它们只不过是将文件进行了移动。它的机制类似于建立畸形文件夹,同时通过建立CLSD以实现U盘数据的“加密”功能,这在后面的“破解”中我们更能理解这一点。
二、搞到加密U盘的数据
针对U盘加密程序破解的方法有很多,这里简单的介绍几种方法。
1、U盘加密数据HIPS来帮忙
HIPS是目前比较好的安全软件,它通过规则性的比对使得安全有了一个新的层次,同时一般的HIPS软件都具备强大的文件查看功能,我们以Malware Denfender为例,用它的文件浏览功能轻松的找到了原来的数据,通过FIPS的这个小功能,不难看出程序不仅在文件夹上做了手脚,而且可能HOOK掉了一些Windows Api,因为HPIS软件一般都是通过系统底层的API来进行管理,所以可以查看的到所谓“加密”后的文件。
2、EasyRecovery轻松搞定失忆的U盘
要找到U盘加密数据,我们可以使用数据恢复工具,比较傻瓜式的数据恢复工具有Webeasy Reccvery和Final Data,由于Final Data已经停止了开发,因此我们以Easy Recovrery为例来进行介绍。从网上下载程序安装完毕后运行,选择“数据恢复”一“高级恢复”,程序就会自动进行扫描,界面。选择移动存储设备的驱动盘符后,点击下一步”,程序开始扫描文件。一般来说U盘比较小,则用的时间也比较少,我们可以等完全扫描完毕后再进行恢复,也可以等程序扫描一小段时问后直接取消,然后在进入的界面中选择要恢复的数据,点击下一步,选择恢复保存后的位置,程序就将U盘加密数据恢复出来了。
3、U盘加密数据破解Ghost也行
既然可以通过数据恢复软件将数据恢复出来,那么能不能用备份程序将数据备份出来呢?用Windows自带的备份程序是不行的,我们借用第三方的工具ghost.cxe就可以了。Ghost备份程序大家都很熟悉了,运行Ghost程序,在程序界面巾依次选择“local”——“Disk”——“To Image”,将U盘分区制作成GHO镜象,然后就进入了关键性的一步,将制作的GHO镜象用Ghost Explorer程序打开,浏览我们备份出来的镜像文件,就能找到加密后的数据了。
有了上面介绍的三种方法,相信U盘加密我们就不怕了!