Обзор программы Anvide Seal Folder и попытка обхода её защиты

Привет, друзья! Добрался я до очередной программы для “защиты своих данных” по имени Anvide Seal Folder. Чтож, попробуем разобраться в ней и понять, стоит ли использовать программу для защиты или не стоит!

Установка программы

Достаточно тривиальна, принцип как и во многих других местах “Далее-Далее-Готово”. Я буду использовать версию 5.26, инсталлируемую. Имеется также портабельная версия, её работу я не проверял.

Работа с программой

При первом запуске нам предлагается выбрать свой язык, разумеется, выбираем русский и нажимаем кнопку с галочкой.

Принимаем условия лицензионного соглашения:

Главное окно программы выглядит как-то так:

  1. Поставить пароль для запуска программы;
  2. Добавить (+) или удалить (-) файловый объект для защиты;
  3. Закрыть\Открыть доступ к объекту;

Добавление объекта для защиты

Нажимаем кнопку “+” и в появившемся дереве каталогов выбираем защищаемый каталог, у нас это “The Black Buhgaltery“.

Объект добавлен, но пока никаких изменений не произошло. Выбираем в списке нашу папку и закрываем доступ к объекту:

Для каждого каталога можно задать собственный пароль. Задам что-то простое, например последовательность натуральных чисел от 1 до 5.

Шифрование?

Кстати, в настройках программы есть такая страница как “Уровень защиты”, где можно ползунком выбрать требуемый уровень. Как это работает, чем сильнее сдвигаем ползунок вправо, тем больше увеличивается защита, но сильнее снижается скорость. И наоборот! Пока непонятно, на что это вообще влияет, но попробуем разобраться позднее.

Обход защиты Anvide Seal Folder

Итак, проведём первичный осмотр файловой системы при помощи нам уже известного WinHex.

Кстати, на сайте vkorpe.ru можно приобрести процессоры для ПК и ноутбуков.

Целевой каталог (“.secure.“) нашёлся в папке $Recycle.Bin в корне системного диска:

Переходим. Там папка с цифровым именем:

Здесь содержимое наших каталогов + ещё странный .config.asf файл, содержимое которого мне пока не совсем понятно.

Включим шифрование

К слову, у ползунка три положения. Крайнее левое, среднее и крайнее правое. В крайнем левом положении всё содержимое в явном виде, только конфиг не поддаётся пониманию.

Переведу в среднее положение. Получаю новый снимок файловой системы:

Что видим? Имена файлов/папок зашифрованы (1) и (2), однако содержимое файлов читается без проблем (3).

Переведу ползунок в крайнее правое положение. Другая картина! Данные файла зашифрованы!

Или нет?

Смутило меня сочетание кодов D4 CF D2 D4 D4 CF … Напомню, что в оригинальном файле было T O R T T O R T …. (торт). Налицо простой сдвиг! Вычислил разница 0xD4 – 0x54 = 0x80 и эта константа на все файлы! То есть  просто вычитая от каждого байта значение 0x80 можно получить оригинальный файл!

Хо-хо! Похоже эта тема шифрует только до смещения 400h! Ниже идёт оригинальный файл.

Внизу ещё идёт приписка, различная для каждого файла. Имеются схожие фрагменты. Попробуем разобраться с более мелким файлом в 12 байт.

Гипотеза подтвердилась, файл зашифрован весь, в конец приписывается 16 байт. Разгадать их смысл не удалось пока, но есть намётки:

Три строки – приписки трёх файлов. Видно, что байты 7, 8, 9, 10 у них равны. Остальные различаются. Понять что это пока не удалось.

Возможно будут интересны обзоры пробития защиты других программ!

  1. Hide Folders обошли;
  2. WinMend Folder Hidden объегорили;
  3. Anvide Seal Folder – неплохой вариант!
  4. Wise Folder Hider – обошли.
  5. Secure Folders – защита пробита!

Выводы

Несмотря на то, что программа работает немного лучше своих собратьев, ей тоже не стоит слепо доверяться, особенно в части, касающейся защиты критических данных больших объёмов!

Открытые вопросы

  1. Содержимое конфига – что значит?
  2. Принцип шифрования имён файлов.
  3. Приписки в конце файлов – что значат?

Вот записал видео по теме:


Like this post? Please share to your friends:

Comments:

Leave a Reply