关于图文档加密软件的缺陷及破_解（图纸、程序防扩散软件）

quanyu2 · 发表于 2011-3-14 13:54:31

看到不少朋友的公司部署了资料防扩散软件。找了个具有代表性的测试一下，发现不少缺陷。某种程度上说，也就是骗骗老板的……

呵呵，为什么呢？我们从原理开始说起：
正常的磁盘操作示意图如下

正常磁盘操作 (原文件名:正常磁盘操作.jpg)

如果想实现透明文件加密（也就是不管操作员愿不愿意）无外乎劫持“应用软件”，劫持“操作系统”，劫持“驱动程序”三种。

劫持应用软件实现起来不容易，需要要替换应用软件中所有涉及磁盘操作部分的函数。还要做大量的测试。无法防范未知软件。所以，此方案不可行。

劫持操作系统实现起来容易，写个系统钩子（API HOOK）替换系统原始函数就可以实现。钩子被调用后，先判断是否是授权用户，如果是，调用原始系统函数，如果否，则报错。这个方案可以轻易实现透明加密，可以不针对特定程序。

劫持驱动软件实现起来最难，编写驱动程序需要高水平的程序员。驱动运行在Ring 0 级别。要求极高。这对一些十来个人的小公司来说，是不可能的。

根据上述分析，加密软件最有可能的实现方法是劫持操作系统。既然有目标了，我们可以顺着分析下来。

既然是劫持操作系统，而加密软件又是基于操作系统的。那显然操作系统要比加密软件先启动。如果是这样，操作系统的文件就肯定不会被加密。不然，电脑启动的时候，谁去给系统文件解加密？

如何判断一个文件是否是系统文件？如果我是设计者，会考虑一下几种

1. 扩展名。操作系统启动时需要的文件无外乎.SYS .INI .DLL .VXD .INF .EXE .COM 等等有限的几种。只要在钩子里判断，扩展名是否是系统类的，是系统文件就放过，其他一律留下加密/鉴权。

2. 文件路径。操作系统的文件通常就在C:\ C:\windows 里面。只要判断是在系统文件路径内，就当作系统文件放行。不过这个方法有严重缺陷，容易被操作者绕过。

3. 白名单。软件自己有一个操作系统必须文件清单，在清单内的文件不被加密。但是，电脑的配置何止万千，甚至同一驱动有数十个版本。维护起来极其困难。如果在加密软件安装后扫描，也难保不错误加密。

根据上述分析，最有可能的是依靠扩展名识别，其他方式方法辅助。

破_解方法如下：
1. 新建一个不在加密范围内的文件。如DWG、PCB、C文件被列入自动加密范畴，就建立一个TXT文件。
2. 使用应用程序打开刚才新建的TXT文件（或其他），可能会提示格式无效或者错误，无视之
3. 正常编辑、保存。
4. 拷贝……

P.S.
建立文件可以使用Dos命令：

如：DIR c:\ > 1.txt
意思是将C盘根目录的文件列出来，放进“1.txt”文件中（实际后缀txt，可以改成任意文件）

实测维响（VisTEAM）的加密软件，上述方法可行、有效。其他加密软件未测试，不敢保证一定可以。

有疑问，可以给我发E-mail：quanyu2#gmail.com（请把#替换为@）

zxq6 · 发表于 2011-3-14 14:29:28

是的，曾经网吧的美萍，被我5分钟搞定，于是乎可以免费上网了。只是网管会巡查，也不能整得太过火。

linghu2 · 发表于 2011-3-14 16:02:18

是不是针对上海幸博图档安全加密系统这类软件?

visTeam InfoGuard图档安全加密系统利用先进的透明加密技术对企业内部重要的技术文件、产品图纸、市场文件等机密信息自动加密，加密文件可以在指定的硬件环境中正常使用，这些文件一旦未经授权流传到企业外部，这些信息处于加密状态，无法被打开使用。此系统能最大程度地保护企业重要的信息，防止机密信息的非法外泄；

bbsview · 发表于 2011-3-14 16:08:33

楼主dos应该很牛吧！呵呵

quanyu2 · 发表于 2011-3-14 18:04:24

【1楼】 zxq6 小马哈
呵呵，没错，当年我也干过

【2楼】 linghu2 令狐二中
没错。我的样本是“visTeam InfoGuard图档安全加密系统”。其他的也差不多。

【3楼】 bbsview
不算牛，也就是会一些常规操作

catonmao · 发表于 2011-3-23 19:36:03

北信源的内网安全……公_安部认定，有商密资质。（一般分为：普密、商密、军密）

zxzxy1988 · 发表于 2011-4-15 09:47:02

mark，这个思路值得学习

leang521 · 发表于 2011-6-2 17:31:56

mark

en508 · 发表于 2011-6-5 18:54:00

mark
加密软件缺陷及破_解

summerstar · 发表于 2011-6-8 22:33:34

mark

110112110 · 发表于 2011-6-30 19:06:57

mark

zzzzzzzzz2 · 发表于 2011-6-30 22:02:59

那我们公司加密软件就比较高级了。
哪些文件加密，哪些文件不加密，确实是通过文件后缀名判断的，
然后我就试了：把CAD文件另存为txt文件，根本就存不了。没有任何提示，就是存不了。
而且我们加密软件屏蔽所有从显存读数据的操作：PrtScn键不好使，扣扣截图也不行。

高级归高级，漏洞还是有的。去年有家伙拷了好几G的解密图纸，被公司罚款三万还不知道五万，开除了之。
所以破_解这种事，还是少试为妙

quanyu2 · 发表于 2011-6-30 23:09:09

不能用CAD另存为TXT，

需要先建立系统文件，如DLL，然后用CAD打开，在保存……

ourgalaxy · 发表于 2011-11-19 15:29:59

回复【12楼】zzzzzzzzz2
那我们公司加密软件就比较高级了。
哪些文件加密，哪些文件不加密，确实是通过文件后缀名判断的，
然后我就试了：把cad文件另存为txt文件，根本就存不了。没有任何提示，就是存不了。
而且我们加密软件屏蔽所有从显存读数据的操作：prtscn键不好使，扣扣截图也不行。
高级归高级，漏洞还是有的。去年有家伙拷了好几g的解密图纸，被公司罚款三万还不知道五万，开除了之。
所以破_解这种事，还是少试为妙
-----------------------------------------------------------------------

那就加bug吧，崩溃的那种！

rajan · 发表于 2012-5-6 15:54:03

mark

dysxq · 发表于 2012-5-6 16:19:00

你们这种是最早的，也是最烂的一种，现在都不用这种技术了，现在的都是用的基于可信应用的加密，比如说设定word是可信应用，那么，word保存出的文件，不管什么扩展名什么的，反正只要word写文件，到了磁盘上就自动加密了，一般来说，什么另存什么的是不可能得到明文的，不过，加密这东西，水太深了，里面很多东西，没做过的人是不清楚的，因为windows就是不安全的，所以，不管怎么做，漏洞都超多，就看你知不知道了，一句话说得好，这东西就是低内裤，不破，只是因为你没有去捅。

xieyudi · 发表于 2012-12-3 15:35:08

zxq6 发表于 2011-3-14 14:29
是的，曾经网吧的美萍，被我5分钟搞定，于是乎可以免费上网了。只是网管会巡查，也不能整得太过火。 ...

美萍我曾经也接触过, 不是底层, 基于注册表的屏蔽, 顶多就是屏蔽快捷键. 似乎是用VB写的, 些想办法结束进程就行了. 现在几乎看不到谁在用了.
近些年连流氓软件都开始搞驱动劫持了(我前几天碰到了一个, 劫持了IP协议栈, 干扰DNS查询来投广告, 狠吧), 相比下这个加密软件做得很一般.

1535414824 · 发表于 2012-12-3 15:43:46

好好研究一下

jz701209李 · 发表于 2013-4-9 17:16:56

路过.........

mhw · 发表于 2013-4-9 17:56:41

mark……

关于图文档加密软件的缺陷及破_解（图纸、程序防扩散软件）

阿莫论坛20周年了！感谢大家的支持与爱护！！