外面正下着雨,闲来无事,就随手打开电脑看看有没有什么好玩的,结果在网上看到了一个叫“文件夹加锁王企业正式版V7.92注册版”。我最近正在学习Windows系统核心编程,自己也编写了一个文件夹隐藏程序,使用的原理是驱动级Ring0,然后HOOK API实现的,这是一种比较彻底的文件隐藏方式,我倒是想看看这个所谓的“企业版”有多厉害,莫非也使用了高级的驱动技术?
带着疑问与好奇,我从网上下载了这个程序并开始安装,默认是安装到“C:\Program Files\Bssoft\folderlockprocn”目录下的,安装完成后,我使用网上提供的注册码进行了注册,居然还有公司网站等信息,还挺全的,呵呵,看似很正规哦!
还是先来看看“文件夹隐藏”功能吧,毕竟我最近正在研究它。我在C:\下新建了一个名为test的文件夹,在test文件夹下又建了一个名为MyHide的文件夹,然后把一个1.06G大小的电影放了进去。因为这个软件的说明里说了,不到1秒钟就可以加密2G的文件夹(其实这根本就不算什么,我编写的文件夹隐藏程序加密几TB的文件夹只用0.000001秒钟呢)。下面我们开始隐藏C:\test\MyHide文件夹,提示隐藏成功了,打开C:\test目录查看文件确实不见了,真强大啊。
为了搞明白加密的原理,我又使用了一个自己编写的filemon程序,这个程序HOOK了CreatfikA函数来监视文件创建。我把刚才隐藏的C:\test\MyHide先使用加锁王恢复回来,打开filemon程序,然后再次进行了刚才的隐藏文件夹隐藏操作。大家看到没有,我的filemon提示有文件创建了,看名字是不是很熟悉呢,我们使用冰刃来看看是什么情况。原来我的MyHide文件夹被转移到了C:\Recycled文件夹下了,当然使用冰刃的复制功能就能轻松的将文件夹拷贝出来了,看来这个文件夹隐藏只是个摆设啊。
接下来我们再看看文件夹加密功能,还是选择C:\test\MyHide文件夹,密码随便输入,加密完成了,我们再来到C:\test看看原来的文件夹被加密成了什么样,原文件夹不见了,出来了一个MyHide.{BDEADF00-C265-11D0-BCED-00A0C90AB50F1,点进去却是一个MSN站点的链接。
还是使用“加锁王”恢复我们刚才加密的文件夹,然后打开filemon程序对进程动作进行监视,只需要关注filemon程序的第二行和最后两行,因为其它的是360安全卫士的创建文件信息。我们可以得知,这个文件夹加密也应该是摆设,我们继续使用冰刃来到创建的文件夹处,注意这次的路径不再是“c:\Recycled”了,而是“c:\RECYCLER”,文件成功找到了,直接使用冰刃复制出来,设置的密码根本就没有,再一次证明了这个软件只是个“花瓶”而已。
这种软件只能做个障眼法,去骗一下技术很菜的电脑使用者,大家再遇到所谓的文件加密软件、隐藏软件什么的,用一个文件创建监视器和冰刃一般就可以搞定了,除非那个隐藏软件使用了十分高级的技术,否则还没有不能被冰刃这类软件找到的文件隐藏技术,貌似现在有种磁盘级文件隐藏技术出来了,但还没有成熟。文章最后我再夸一下自己编写的一个文件夹隐藏软件,不过使用它隐藏的文件夹也能够直接被冰刃找到,但是对于普通用户几乎是完全不可见的。