秘密无处可藏——简单搞定加密大师高强度文件加密大师是非常好用文件夹加密软件，号称原创三种独特功能加密方式，无懈可击、专业与易用的结合体、最好的加密软件、国防级的加密强度!以前我也一直在用这款加密软件，人一懒就过分依赖软件了，直到有一天同学把我的密码改了，我实在没办法解密了才想着去研究一下。以前有文章介绍过通过Driverescue恢复加密的文件，效果的确不错，但我们以前加密的文件留在硬盘上无法删除一则占用系统空间，二则让人心里不舒服。总是想能够直接对加密文件进行操作，我们就开始从它的工作机理入手对其彻底剖析。一、轻易发掘出程序运行密码这款软件具有防删除功能，通过设定后非授权用户是无法打开的(图1)，图1根据往常的思路我们到内存中去寻找正确的密码。利用Winhex的RAM编辑器打开Svohost进程的整个内存，选择搜索—查找文本，输入我们刚才输入的错误密码。注意这个密码尽量要有特色，确保在内存中容易搜索，如图2所示，我用的密码是hacker,上方紧挨着它的就是正确密码。可能有人说不对啊，那不是我设定的密码。对！不过这个密码的确实可以正常登陆的，笔者猜测它是根据正确密码按照一定算法计算出来的，此算法又不够合理，使得两个都可以登陆，我试了几次，发现这个内存中的多为数字。本人不擅长底层分析，就此打住了，需要注意的是加密大师运行时系统中可能有两到三个进程，在一个进程中找不到就换另外的试试。图2二、无须任何工具，手工解密加密大师有三种加密方式：本机加密、移动加密和隐藏加密。经过测试，加密原理相差不大，本文就从本机加密着手，其他的大家可以自行研究。在对E:\test本机加密后，其根目录下的Recycled文件夹被动了手脚，这也是类似大多数加密软件常用的”伎俩”。首先在”工具—文件夹选项”去掉隐藏系统文件选项和显示隐藏文件。进入CMD，输入attribE:\recycled–r–h–s去掉其只读属性，可以看到此目录图标由回收站变为普通的文件夹。点击进入后有三个文件，又见到了回收站图标(图3)，直接点击进入的是正常回收站。回到CMD输入attribS-1-5-21-1060284298-811497611-11778920086-500–r–h–s去掉其只读、隐藏属性。图3这一大长串输起来也确实恼火，友情提示：输入attribs-1时按Tab键会自动完成输入看到了INFO2目录(图4)，进入后会有一个Di1目录，看清楚后面是有个空格哦，导致直接双击会报错，显示无效目录(图5)，这就是利用了Windows的文件命名特性，正常状态下文件名不能含有”\/:?<>”等特殊符号，带有这种符号的文件就成了所谓的”顽固文件”，无法删除和重命名，有些病毒也是通过生成这种顽固文件达到常驻硬盘目的。图4图5注:告诉您一条一击必杀的DOS命令：Dir/x。此命令可以将任何怪异字符的加密文件夹名显示为短文件名,这样我们就可以在DOS下轻松访问这些“加密”的文件夹了。回到CMD，文件夹Di的短文件名可能就是Di1~1,其下级还有一个怪异文件目录，同样方法进入就看到我们的加密文件了(图6),现在可以删除或剪切了。图6三、小软件大功能、迅速解密这里介绍两个好用的小软件，也是加密文件的克星：pc.exe，可以对顽固文件/目录改名、删除，只要改为正常名称就可以直接在视窗环境下直接访问。FolderSniffer.exe，可以解密大部分加密文件哦，速度飞快，这也是因为加密软件密码只是用作访问控制，并未进行算法加密。两个软件都比较容易上手，大家一用就会，不做过多介绍。本文本着学习的态度对加密大师加密方法进行研究，也希望我们的国产加密软件能够越做越好，文章或观点有什么错误恳请指正。