加密软件的黑洞系列三：破 解危机

       “地球很危险，我们快点回火星去”这句一度成文网络上最热门的话。

       近几年的数据泄露事件接连不断，企业选择加/密软件来保护公司机密，但为什么还是会发生数据泄露事件呢？我总结了以下几点原因：

• 加/密原理的漏洞
• 加/密软件自身漏洞
• 加/密破/解软件的发展壮大

       公司的运作已经无法离开几乎无处不在的信息数据和信息系统，保护对公司的成功日益重要的信息资产的安全已经成为一项战略性的目标。加/密技术的发展让公司管理层看到了一丝希望。但是作为一项新兴技术，加/密本身也存在不成熟的地方。

       市面上，形形色色的安全公司都在强调自己的加/密产品“快速”、“稳定”、“安全”，但是加/密的形式无非就是对称密码体制和公钥密码体制。

       两种密码体制的比较：

                                     – 对称密码体制

                                                1.优点：加/密速度快

                                                2.缺点：密钥管理困难，泄密风险高。

                                      -  公钥密码体制

                                                1.优点：灵活，安全性高。

                                                2.缺点：加/密速度慢。

       有加/密就一定有解/密！随着加/密技术的不断发展，与其相对应的破/解技术也在不断壮大。

• 密文攻击：从已知的密文中恢复出明文或密钥；
• 已知明文攻击：从已知密文和一些明文-密文对中分析明文；
• 选择明文攻击：可选定任意明文-密文对进行攻击；
• 选择密文攻击：分析者能选择不同的被加/密的密文，并能得到对应的解/密的明文（主要用于公钥算法）。

       以上攻击强度依次增大，唯密文攻击最弱。这些破/解技术只是针对加/密原理的漏洞，实际上，安全公司的加/密技术漏洞给企业带来的灾难性后果更加可怕！

       加/密技术漏洞危害增加，破/解危机一触即发！

       每一家信息安全公司都在为自己的加/密产品做宣传，但是破/解的信息在网上也是随处可见。现在社会上就有那么一群人，就是靠破/解加/密软件为生。有需求就有市场，这群人就是专门为想盗窃资料的人服务的。就以北京E公司为例，网际间有大量的详细的破/解说明，如此明显可怕的加/密技术漏洞，对于选择这样的信息安全公司的客户来说，无疑是一颗定时炸弹，随时都有可能爆炸！

       北京的E公司是以“程序+扩展名”，磁盘加/密管理为基础。那么稍微掌握一些加/密知识的技术人员知道这些内容破/解就很简单了。对于文本文件，北京E公司是以格式加/密为主。

       网络上各种版本的破/解案例显示该公司的加/密软件不支持TXT纯文本加/密，还有传言说在启动时E公司加/密产品会从C:/Windows/system32目录读取它自己的一些配置文件，都是以.sys为后缀的几个文件， 比如chostinfo.sys 保存了E公司连接的服务器的IP，localclipinfo.sys 保存了打开加/密文件的可执行程序的列表，DocGuard.sys 保存了要监视的进程，比如QQ要监视起来，避免通过QQ传输文件等。

       PrintScreenBlack.sys 保存了截屏的黑名单，避免通过截屏软件通过图片的方式泄露机密。这些文件只要修改扩展名就可以达到避免加/密的效果。这样的破/解技术只是基于加/密软件本身的系统操作，还有利用加/密技术漏洞而开发的加/密软件破/解工具。

       现在网上有很多加/密软件破/解工具，比较简单的是针对伪加/密技术，也有比较高级一点的，主要针对像北京E公司这样企业级加/密软件。所有的加/密软件破/解工具的工作原理均是后台自动打开应用程序，然后从内存中提取加/密文件的明文。这些开发破/解软件的人都是抓住安全公司的加/密技术漏洞。目前有一款针对E公司等安全厂商的加/密软件的专业破/解系统。

       关于这款软件的介绍：

       用途：

       该程序主要用于从安装了文档加/密软件的电脑上把文件解/密,解/密后的文件将打包成一个文件(默认文件名为Crack.crk).把这个文件复制到未安装加/密软件的电脑上,用文件提取程序(GetFile.exe)来读取文件。

       使用方法:

       该解/密程序目前共有七种打包方式(请查看本程序的[伪造程序]页，打包方式列表)，每种打包方式决定了解/密的方法，所以，当你选择某种打包方式打包出来的文件也被加/密时，你可以选择不同的打包方式再试。

       当您采取[Mode1]进行打包时，请按以下方法操作：

       首先,启动FileDecrypt.exe程序,切换到[伪造程序]页,选择打包方式为[Mode1],假如您的电脑上对文本文件进行了加/密,则"被伪造的程序路径"选择您的电脑上的Notepad.exe文件,然后单击"生成伪造程序",则在当前程序所在路径生成一个Notepad.exe的伪造程序,该程序即是FileDecrypt.exe的副本,唯一不同的是版本信息及应用程序图标等信息修改成与实际的Notepad.exe一样。

       当你采取[Mode2]、[Mode3]、[Mode4]或[Mode5]进行打包时，请按以下方法操作：

       首先，启动FileDecrypt.exe程序,切换到[伪造程序]页,选择对应的打包方式（缺省为[Mode3]），假如您的电脑上对文本文件进行了加/密,则"被伪造的程序路径"选择您的电脑上的Notepad.exe文件,再返回[解/密]页，单击[添加文件]按钮，选择要解/密的文件，文件添加完成后，再单击[打包]，则刚才选择的文件自动打包到Crack.crk中，把该文件复制到未安装加/密程序的电脑上，用GetFile.exe程序提取文件即可，所提取出来的文件将是明文。

       注意：

       1、[Mode1]必须使用伪造程序进行打包，其它打包方式必须使用FileDecrypt.exe程序进行打包。

       2、如果"被伪造的程序路径"选择的是"C:\Windows\Notepad.exe"程序，并不是说仅能解/密文本文件，其它任何格式的文件都能破/解。

       各种打包方式的适用范围：

       [Mode1]的使用(适用于J公司、Q公司、 M公司、E公司等)

       [Mode2]的使用(未公开)

       [Mode3]的使用(适用于J公司、Q公司、 M公司、E公司等)

       [Mode4]的使用(对有MD5值验证的加/密软件成功率较高)

       [Mode5]的使用(对有MD5值验证的加/密软件成功率较高，经测试成功的有S公司、E公司3.0)

       [Mode6]的使用(该打包模式仅能对Office文件及Autocad文件进行打包) 

图1  加/密破/解软件　

       由此可以得出结论，由于一些加密软件的厂商的加/密技术自身的不成熟，市场上为企业提供加/密保护的安全产品必定会有技术漏洞。正所谓“苍蝇不叮无缝的蛋”，之所以存在各种加/密软件破/解工具，就是因为安全公司的产品存在加/密技术漏洞。

       只有掌握加/密核心技术才能赢得这场破/解与反破/解的战役！

       山丽防水墙系统将对称加/密与非对称加/密相结合，这样的技术创新将被破/解的可能性降到最低。同时，山丽防水墙系统的加/密追求的是“全盘”加/密环境。由于整个磁盘都是加/密状态，在其内部创建的所有文件数据都是密文保护状态，就算在内存中找到了明文状态的文件，但在加/密的大环境下，从内存的临时文件中复制粘贴出来的内容还是密文。可以说，山丽防水墙系统的全盘加/密无畏市面上的破/解！