羽夏逆向破解日记簿——文件夹加密大师的逆向分析
前言
文件夹加密大师
是一个工具,通过移动加密的方式实现保护文件夹原文件。这个软件是我从老爸电脑上拷贝的。小时候觉得挺神奇的,也找不到文件在哪里。现在我们一探究竟,移动加密到底是何方神圣。移动加密是怎么加密,如何解密的。这软件好像从网上找不到了,会在文章中提供下载链接。使用时建议使用管理员权限启动,否则加密和解密操作会弹出烦人的无法创建dll
错误。这个dll
也不是啥正常dll
,而是存储程序运行路径的普通文本文件,只是用dll
后缀表示而已,没啥用处。本篇的重点是分析一下它是如何加密的,如何解密的。
主角和工具
- Detect it easy 1.01
- IDA 7.5
- X32Dbg
- ulock 文件夹加密大师 —— 密码:bhr9
- XYExplorer
- CFF Explorer
- PE Explorer
探测
加密效果如下图所示(其实我觉得你能猜到我输入的密码是什么):
既然是加密并且能够还原,它必须存在,只是咱没有看到而已,我们使用XYExplorer
查看。它是一个十分强大的工具,任何隐藏文件都能看到,如下图所示加密后的情况:
解密效果如下图所示:
初步分析
既然工具使用已经探测完毕了,我们来进入分析环节。先用Detect it easy 1.01
探测一下:
可以检测到是Delphi
写的,加了一个UPX
壳。UPX
壳是压缩壳,只是用来压缩体积软件体积用的,并没有其他任何用途。它将压缩后的代码解压后会直接跳到主程序代码,不会对堆栈造成任何影响。可以用UPX
解压工具进行解压,也可以根据堆栈平衡原理手脱。手动脱壳就不介绍了,这个不是本篇的重点,就拿CFF Explorer
附加的UPX Utility
进行解压保存得到。它是一个分析PE结构的一个工具,不过拿来脱UPX
壳有点大材小用。
由于是Delphi
写的,它有自己的特色,通过PE Explorer
可以查得它具有一个窗体,名叫TForm1
,点击资源查看可以查看它的资源,找到关键函数。
然后把它拖到IDA
中,等待其分析完毕后,得到如下结果:
直接在函数列表搜索Button1Click
,找到正确的函数,然后F5
一下,看看大体的执行流程,如下图所示:
然后大体分析一下,找到疑似为加密伪代码片:
System::__linkproc__ LStrCat(&System__AnsiString, &str_Thumbs_dn__4[1]);
if ( !Sysutils::DirectoryExists(System__AnsiString) )
{
sub_402910(System__AnsiString);
Sysutils::FileSetAttr(System__AnsiString, 7u);
}
(*(*dword_4B0DBC + 68))(dword_4B0DBC);
Controls::TControl::GetText(*(v60 + 194));
TForm1_jiami3(v60, v49, &v50);
v16 = v50;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, v16, v51);
sub_4AB9A8(v55, System__AnsiString);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v45);
TForm1_jiami3(v60, v45, &v46);
v16 = v46;
System::__linkproc__ LStrCat3(&v44, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v44, v16, v47);
sub_4ABD0C(v55, System__AnsiString);
sub_40B214(v55, &v43);
System::__linkproc__ LStrLAsg(&v55, v43);
v16 = &str___ShellClassInf[1];
v4 = sub_4AB95C(&str_Folder[1], &str_______1[1]);
unknown_libname_78(&v42, v4);
v15 = v42;
v14 = &str____10[1];
unknown_libname_912(*off_4AF5CC, v41);
Sysutils::ExtractFileName(v41[0]);
System::__linkproc__ LStrCatN(
&v58,
9,
v5,
v15,
&str____10[1],
&str_IconIndex_2[1],
&str____10[1],
&str_IconFile_[1],
v41[1],
&str____10[1],
&str_ConfirmFileOp_1[1]);
System::__linkproc__ LStrLAsg(&v57, &str___ShellClassInf_0[1]);
System::__linkproc__ LStrCat3(&v39, v55, &str_desktop_ini[1]);
sub_4AB4BC(v39, v58, v40);
System::__linkproc__ LStrCat3(&v37, System__AnsiString, &str_desktop_ini[1]);
sub_4AB4BC(v37, v57, v38);
System::__linkproc__ LStrCat3(&v36, System__AnsiString, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v36, 7u);
System::__linkproc__ LStrCat3(&v35, v55, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v35, 7u);
Sysutils::FileSetAttr(v55, 1u);
Classes::TStrings::Append(dword_4B0DB8, v55);
sub_4AC734(&v34);
System::__linkproc__ LStrCat(&v34, &str_danine_dll[1]);
(*(*dword_4B0DB8 + 116))(dword_4B0DB8, v34);
Forms::TCustomForm::Close(v60);
通过编程经验,System::__linkproc__ LStrCat
函数等函数名相似的函数就是来连接字符串的。我们也看到熟悉的中国式命名函数方式的函数TForm1_jiami3
,直接把一个疑似加密的函数给暴露了,真是“加密”的拼音啊。
然后我们在看一看它使用的关键字符串:
我之前一直在强调伪代码的不准确性。为了保证伪代码的进一步准确性,我们点击TForm1_jiami3
加密函数查看一下伪代码,查看所谓的加密过程,返回再F5
一下。既然点开了,那就分析一下:
int __usercall TForm1_jiami3@<eax>(int a1@<edx>, int a2@<ecx>, int a3@<ebx>, int a4@<edi>, int a5@<esi>)
{
// [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]
v16 = 0;
v15 = 0;
v14 = 0;
v13 = a3;
v12 = a5;
v11 = a4;
v17 = a2;
v18 = a1;
System::__linkproc__ LStrAddRef(a1);
v10 = &savedregs;
v9[1] = &loc_4ADBFD;
v9[0] = NtCurrentTeb()->NtTib.ExceptionList;
__writefsdword(0, v9);
v5 = 1;
v6 = unknown_libname_82(v18);
if ( v6 > 0 )
{
v7 = 1;
do
{
v5 ^= 1u;
if ( v5 )
{
Sysutils::IntToHex(*(v18 + v7 - 1) ^ 4, 2);
System::__linkproc__ LStrCat(&v16, v15);
}
else
{
Sysutils::IntToHex(*(v18 + v7 - 1) ^ 5, 2);
System::__linkproc__ LStrCat(&v16, v14);
}
++v7;
--v6;
}
while ( v6 );
}
System::__linkproc__ LStrCat3(v17, &str___35[1], v16);
__writefsdword(0, v9[0]);
v10 = &loc_4ADC04;
System::__linkproc__ LStrArrayClr(&v14, 3);
return System::__linkproc__ LStrClr(&v18);
}
输入的必然是字符串,如果加密字符串,必然会读取每个字符。通过这个编程经验,可以暂定v18
即参数a1
是我们传递的待加密字符串。
从目前看,程序加密时,会通过Controls::TControl::GetText
这个函数获取你输入的明文密码,存放到*(v60 + 194)
这个地址中,v60
必定是这个窗体类的一个部分或者直接是这个窗体类。获取后传递到TForm1_jiami3
加密函数进行加密通过v50
这个参数传递出去,v17
即参数a2
就是获得加密后的字符串。加密过程就是逐个字符取出,然后交替用5
和4
进行异或,然后转换为两个字符的字符串,依次连接,再最终结果连接到str___35
字符串后面,我们来看看这个字符串到底是什么。
可以看出,这个字符串不能够正常显示,它如果表示就是/x02
。这个加密过程我们就清晰了。
然后返回看看,发现原来的伪代码变了。然后再把没函数名的点击一下然后返回,最终是这个样子:
System::__linkproc__ LStrCat(&System__AnsiString, &str_Thumbs_dn__4[1]);
if ( !Sysutils::DirectoryExists(System__AnsiString) )
{
sub_402910(System__AnsiString);
Sysutils::FileSetAttr(System__AnsiString, 7u);
}
(*(*dword_4B0DBC + 68))(dword_4B0DBC);
Controls::TControl::GetText(*(v59 + 194));
TForm1_jiami3(v49, &v50, a2, a3, a4);
v19 = v50;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, v19);
sub_4AB9A8(v54, System__AnsiString, a2);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
v19 = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, v19);
sub_4ABD0C(v54, System__AnsiString, a2);
sub_40B214(v54, &v44);
System::__linkproc__ LStrLAsg(&v54, v44);
v19 = &str___ShellClassInf[1];
v7 = sub_4AB95C(&str_Folder[1], &str_______1[1]);
unknown_libname_78(&v43, v7);
v18 = v43;
v17 = &str____10[1];
unknown_libname_912(*off_4AF5CC, v42);
Sysutils::ExtractFileName(v42[0]);
System::__linkproc__ LStrCatN(
&v57,
9,
v8,
v18,
&str____10[1],
&str_IconIndex_2[1],
&str____10[1],
&str_IconFile_[1],
v42[1],
&str____10[1],
&str_ConfirmFileOp_1[1]);
System::__linkproc__ LStrLAsg(&v56, &str___ShellClassInf_0[1]);
System::__linkproc__ LStrCat3(&v41, v54, &str_desktop_ini[1]);
sub_4AB4BC(v41, v57);
System::__linkproc__ LStrCat3(&v40, System__AnsiString, &str_desktop_ini[1]);
sub_4AB4BC(v40, v56);
System::__linkproc__ LStrCat3(&v39, System__AnsiString, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v39, 7u);
System::__linkproc__ LStrCat3(&v38, v54, &str_desktop_ini[1]);
Sysutils::FileSetAttr(v38, 7u);
Sysutils::FileSetAttr(v54, 1u);
Classes::TStrings::Append(dword_4B0DB8, v54);
sub_4AC734(&v37);
System::__linkproc__ LStrCat(&v37, &str_danine_dll[1]);
(*(*dword_4B0DB8 + 116))(dword_4B0DB8, v37);
Forms::TCustomForm::Close(v59);
然后我们继续接着Controls::TControl::GetText(*(v59 + 194));
这条代码后面讲解。发现函数调用过程跟我们的猜测完全一致,注释如下:
Controls::TControl::GetText(*(v59 + 194));// 获取明文密码
TForm1_jiami3(input, &enstr, a2, a3, a4);// 进行加密操作
buffer = enstr;
System::__linkproc__ LStrCat3(&v48, System__AnsiString, &str_117789687_1[1]);
sub_4AB4BC(v48, buffer);
根据探测,先推测这个是一个写文件的函数,因为v48
推测是一个文件路径,还有传入存有加密字符串的buffer
。我们双击这个函数查看如下所示:
int __fastcall sub_4AB4BC(int a1, int a2)
{
// [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]
v7 = a2;
v8 = a1;
System::__linkproc__ LStrAddRef(a1);
System::__linkproc__ LStrAddRef(v7);
v5 = &savedregs;
v4[1] = &loc_4AB543;
v4[0] = NtCurrentTeb()->NtTib.ExceptionList;
__writefsdword(0, v4);
*off_4AF66C = 2;
System::__linkproc__ Assign(v6, v8);
System::__linkproc__ RewritText(v6);
v2 = sub_404CB0(v6, v7);
System::__linkproc__ Flush(v2);
System::__linkproc__ Close(v6);
__writefsdword(0, v4[0]);
v5 = &loc_4AB54A;
return System::__linkproc__ LStrArrayClr(&v7, 2);
}
这不用多说,编写过读写文件编程的人都知道这个函数的功能了吧?
然后继续分析下一个代码片
sub_4AB9A8(v54, System__AnsiString, a2);
(*(*dword_4B0DBC + 28))(dword_4B0DBC, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
v19 = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, v19);
sub_4AB9A8
这个函数不知道是干啥的,然后(*(*dword_4B0DBC + 28))
这个函数连名字都没有,也不知道。但我们可以根据前面的分析肯定。v46
就是待加密的字符串,v47
就是加密后的字符串,然后通过sub_4AB4BC
函数写入文件中。(*(*dword_4B0DBC + 28))
这个函数干啥只能在动态调试中分析了,我们先分析sub_4AB9A8
这个函数:
int __usercall sub_4AB9A8@<eax>(void *a1@<eax>, int a2@<edx>, int a3@<ebx>)
{
// [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]
v14 = 0;
v15 = 0;
v16 = 0;
v18 = 0;
v17 = 0;
v19 = 0;
v23 = 0;
v24 = a2;
v25 = a1;
System::__linkproc__ LStrAddRef(a1);
System::__linkproc__ LStrAddRef(v24);
unknown_libname_89(FatTime, &byte_407C18);
v12 = &savedregs;
v11 = &loc_4ABC29;
v10 = NtCurrentTeb()->NtTib.ExceptionList;
__writefsdword(0, &v10);
(*(*dword_4B0DBC + 68))(dword_4B0DBC, *dword_4B0DBC);
v3 = 0;
v4 = unknown_libname_82(v25);
v5 = *(v25 + v4 - 1) - 47;
if ( v5 && v5 != 45 )
System::__linkproc__ LStrCat(&v25, &str___30[1]);
v6 = unknown_libname_82(v24);
v7 = *(v24 + v6 - 1) - 47;
if ( v7 && v7 != 45 )
System::__linkproc__ LStrCat(&v24, &str___30[1]);
System::__linkproc__ LStrCat3(&v19, v25, &str___31[1]);
if ( !Sysutils::FindFirst(v19, 63, FatTime) )
{
do
{
System::__linkproc__ LStrCmp(System__AnsiString, &str____0[1]);
if ( !v8 )
{
System::__linkproc__ LStrCmp(System__AnsiString, &str___6[1]);
if ( !v8 )
{
unknown_libname_912(*off_4AF5CC, &v17);
Sysutils::ExtractFileName(v17);
System::__linkproc__ LStrCmp(System__AnsiString, v18);
if ( !v8 )
{
System::__linkproc__ LStrCmp(System__AnsiString, &str___exesoft_0[1]);
if ( !v8 )
{
sub_40B268(&str_Thumbs_dn__1[1]);
System::__linkproc__ LStrCmp(System__AnsiString, v16);
if ( !v8 )
{
System::__linkproc__ LStrCmp(System__AnsiString, &str__________exe_0[1]);
if ( !v8 )
{
System::__linkproc__ LStrCmp(System__AnsiString, &str_System_Volume_I[1]);
if ( !v8 )
{
++v3;
Classes::TStrings::Append(dword_4B0DBC, System__AnsiString);
if ( (v21 & 0x10) == 16 )
{
Sysutils::IntToStr(v3);
System::__linkproc__ LStrCat3(&v23, v15, &str___2227a280_3aea[1]);
}
else
{
Sysutils::IntToStr(v3);
System::__linkproc__ LStrCat3(&v23, v14, &str__mem[1]);
}
Classes::TStrings::Append(dword_4B0DBC, v23);
}
}
}
}
}
}
}
}
while ( !Sysutils::FindNext(FatTime) );
Sysutils::FindClose(FatTime);
}
__writefsdword(0, v11);
v13 = &loc_4ABC30;
System::__linkproc__ LStrArrayClr(&v14, 6);
System::__linkproc__ FinalizeRecord(FatTime, &byte_407C18);
System::__linkproc__ LStrArrayClr(&v23, 3);
return a3;
}
虽然有很多大量我不知道的东西,但可以明确知道它是在遍历文件,如果是我想要的文件就贴在dword_4B0DBC
这个字符串后面。我们可以确定这个是存储遍历后的字符串信息,把它定义为files
,然后返回,发现伪代码发生了一些变化。
sub_4AB9A8(v54, System__AnsiString, a2);
(*(*files + 28))(files, &v46);
TForm1_jiami3(v46, &v47, a2, a3, a4);
buffer = v47;
System::__linkproc__ LStrCat3(&v45, System__AnsiString, &str_117789687LIST_m_0[1]);
sub_4AB4BC(v45, buffer);
我们发现没有函数名的变成了有些意义的东西,剩下的转交给我们的X32Dbg
,在合适的地方下断点,定位到我们有疑点的地方:
这个函数是用来写文件的,是我们之前推测判定的,通过XYExplorer
成功验证:
分析到那个名字不知道的函数,根据IDA
和结果跟踪发现是Classes::TStrings::GetTextStr
这个函数:
执行完这个函数,发现返回值是一个相当长的字符串,为了清晰,我们再跟一步:
然后我们再从内存窗口观察参数,如下图所示,清晰明了。
最终经过TForm1_jiami3
函数加密,然后写到文件里面。可以看出这个是存储加密文件信息的,存储着文件名。
后面的就不再领大家继续分析了。我就大体说一下,后面是开始写desktop.ini
。这个文件是用来个性化文件夹,再赋予合适的属性,以实现隐藏。然后把待加密的文件挪到Thumbs.dn
这个文件夹。创建Dll
,直接写入当前文件目录路径,最终加密结束。
反制还原
由于加密机制十分简单,我们完全可以进行解密反制。我们不光可以获取它的密码,甚至把文件都给还原回去。我们通过C++
进行,有关字符串的解密措施可以写出如下函数:
void CulockCrackerDlg::Decode(BYTE* encryptedData, INT bufferlen, CHAR* out)
{
BOOL b = FALSE;
BYTE item;
int i = 0;
int h, l;
for (; i < bufferlen - 1; i++)
{
h = encryptedData[2 * i];
if (h >= '0' && h <= '9')
{
h -= '0';
}
else
{
h = h - 'A' + 10;
}
l = encryptedData[2 * i + 1];
if (l >= '0' && l <= '9')
{
l -= '0';
}
else
{
l = l - 'A' + 10;
}
item = h * 16 + l;
if (b)
{
item ^= 4;
}
else
{
item ^= 5;
}
b = !b;
out[i] = item;
}
out[i] = 0;
}
为什么代码看起来有点怪怪的呢?因为我创建了一个俗称没饭吃(MFC)的项目。我写的项目已经完成了解密密码和还原加密的功能。这里我只贴核心代码,剩下的自己还是写一写吧。
接下来我们解密密码:
void CulockCrackerDlg::OnBnClickedBtnGetPwd()
{
UpdateData(); //更新folderName,这个存储的是文本框内的值
//folderName存储是被加密的文件夹
WCHAR pathbuffer[MAX_PATH + 1];
INT len = folderName.GetLength();
folderName.CopyChars(pathbuffer, MAX_PATH + 1, folderName, len);
StrCpy(&pathbuffer[len], L"\\Thumbs.dn");
if (!DirectoryExists(pathbuffer)) //这个函数是我自定义写的,别以为库函数有
{
MessageBox(L"不是 ulock 移动加密的文件夹!!!", appName, MB_ICONERROR);
return;
}
StrCpy(&pathbuffer[len], L"\\Thumbs.dn\\117789687");
if (!FileExists(pathbuffer)) //这个函数是我自定义写的,别以为库函数有
{
MessageBox(L"密码文件未找到!!!", appName, MB_ICONERROR);
return;
}
CFile hfile;
if (!hfile.Open(pathbuffer, CFile::modeRead | CFile::typeBinary))
{
MessageBox(L"打开密码文件失败!!!", appName, MB_ICONERROR);
return;
}
hfile.Seek(1, CFile::begin); //忽略第一个字节,这个字节没用处
UINT flen = (UINT)hfile.GetLength() - 1;
BYTE* buffer = new BYTE[flen];
hfile.Read(buffer, flen);
hfile.Close();
INT declen = flen / 2 + 1;
CHAR* decodestring = new CHAR[declen];
Decode(buffer, declen, decodestring); //调用解密函数
txtInfo.AppendFormat(L"> 文件夹密码:\t%s\r\n", CString(decodestring));
UpdateData(0);
delete[] decodestring;
delete[] buffer;
}
还原加密代码:
void CulockCrackerDlg::OnBnClickedBtnGetFiles()
{
UpdateData();
txtInfo.Append(L">> 正在检测是否为 ulock 加密……\r\n");
UpdateData(0);
CString encryptfolder(folderName);
encryptfolder.Append(L"\\Thumbs.dn");
if (!DirectoryExists(encryptfolder)) //这个函数是我自定义写的,别以为库函数有
{
MessageBox(L"不是 ulock 移动加密的文件夹!!!", appName, MB_ICONERROR);
ShowErr(); //展示错误信息,自定义函数
return;
}
txtInfo.Append(L">> 正在获取加密文件结构信息……\r\n");
UpdateData(0);
SetCurrentDirectory(encryptfolder);
WCHAR prefix[] = L"117789687LIST.mem";
if (!FileExists(prefix)) //这个函数是我自定义写的,别以为库函数有
{
MessageBox(L"文件夹信息文件未找到!!!", appName, MB_ICONERROR);
ShowErr(); //展示错误信息,自定义函数
return;
}
CFile hfile;
if (!hfile.Open(prefix, CFile::modeRead | CFile::typeBinary))
{
MessageBox(L"加密文件结构信息文件未找到!!!", appName, MB_ICONERROR);
ShowErr(); //展示错误信息,自定义函数
return;
}
hfile.Seek(1, CFile::begin); //跳过第一个无用字节
UINT flen = (UINT)hfile.GetLength() - 1;
BYTE* buffer = new BYTE[flen];
hfile.Read(buffer, flen);
hfile.Close();
INT declen = flen / 2 + 1;
CHAR* decodestring = new CHAR[declen];
Decode(buffer, declen, decodestring); //调用解密函数
//分割字符串,获取文件map
stringstream ss;
ss << decodestring;
CList<CString> files;
string str;
while (!ss.eof())
{
getline(ss, str, '\n');
if (!str.length()) break;
str.pop_back(); //删除最后一个字符 '\r'
files.AddTail(CString(str.c_str()));
}
int total = files.GetCount()/2;
txtInfo.AppendFormat(L">> 获取成功,共有 %d 组文件\r\n", total);
txtInfo.Append(L">> 开始解密……\r\n");
UpdateData(0);
auto fp = files.GetHeadPosition();
for (int i = 0; i < total; i++)
{
auto dest = files.GetNext(fp); //解密后的文件名
auto src = files.GetNext(fp); //加密的文件名
dest.Insert(0, L"..\\");
SetFileAttributes(src, FILE_ATTRIBUTE_NORMAL);
MoveFile(src, dest);
}
txtInfo.Append(L">> 文件解密完毕,正在清理无效文件……\r\n");
UpdateData(0);
//还原文件属性,防止无法删除
if (!SetFileAttributes(prefix, FILE_ATTRIBUTE_NORMAL)|| !DeleteFile(prefix))
{
txtInfo.Append(L">> 删除无效的加密文件结构信息失败,可能文件不存在或者被占用。\r\n");
UpdateData(0);
}
prefix[9] = 0;
//还原文件属性,防止无法删除
if (!SetFileAttributes(prefix, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(prefix))
{
txtInfo.Append(L">> 删除无效的密钥文件失败,可能文件不存在或者被占用。\r\n");
UpdateData(0);
}
WCHAR* p = L"desktop.ini";
//还原文件属性,防止无法删除
if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(p))
{
txtInfo.Append(L">> 删除无效的加密设置失败,可能文件不存在或者被占用。\r\n");
UpdateData(0);
}
p = L"..\\desktop.ini";
//还原文件属性,防止无法删除
if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !DeleteFile(p))
{
txtInfo.Append(L">> 删除无效的加密设置失败,可能文件不存在或者被占用。\r\n");
UpdateData(0);
}
//更改当前目录,以防 Thumbs.dn 文件夹无法删除
SetCurrentDirectory(L"..\\");
p = L"Thumbs.dn";
//还原文件属性,防止无法删除
if (!SetFileAttributes(p, FILE_ATTRIBUTE_NORMAL) || !RemoveDirectory(p))
{
txtInfo.Append(L">> 删除无效的加密文件存放区 Thumbs.dn 失败,可能文件夹被占用。\r\n");
UpdateData(0);
}
txtInfo.Append(L">>解密完毕……\r\n");
UpdateData(0);
delete[] decodestring;
delete[] buffer;
MessageBox(L"解密成功!!!", appName, MB_ICONINFORMATION);
return;
}
效果展示
最后工具写好了,我们来看看效果:
小结
- 移动加密不保险,可以比较容易地被还原出来。
- 虽然移动加密不保险,但速度快是肯定的。如果通过加密算法保护必将降低解密和加密效率。
本文来自博客园,作者:寂静的羽夏 ,一个热爱计算机技术的菜鸟
转载请注明原文链接:https://www.cnblogs.com/wingsummer/p/15417415.html