关于Foldersniffer的问题

Posted 2023-04-12

我的是Vista系统
Foldersniffer找到了我隐藏丢失的文件，但是就是复制不出来怎么办啊！
我的文件在C:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.21ec2020-3aea-1069-a2dd-08002b30309d\63617361ÿ\文件夹下，但是这个路径打不开啊！谁有办法打开这个路径，或者告诉我为什么不能复制。

参考技术A recycled是系统文件夹.vista里面限制了很多软件的存取权限.而且这个文件在recycled bin里面说明您以及将其删除.请用easyrecovery等硬盘修复软件查找这个文件并且取出即可.直接复制是没有办法复制的.而且这个路径也是不可读取的~ 参考技术B 楼主，我对你描述的情况不是很清楚，但大概知道了一些。来个最佳 谢谢
我给你2种办法 1：文件通过“total commander”的软件复制出来
2：其实很多人用了这个＜高强度文件夹加密大师9000＞进行了移动加密了重要的工作文件，但是在解密的时候却提示出错，后来上网看到了很多网友也说在有同样的情况，后来我才发现这个所谓的国防级加密软件真的太吹！
首先，我还是得问一下，楼主你是否记错密码，并认真试关于过自己想得到的密码！
使用运行命令.只要你还记得那个文件的名字,在运行中依次输入路径+文件名看看能否使用。
高强度文件夹加密大师9000的原理是:1、把文件夹移动到windows系统中的一个特殊文件夹 recycled ，即回收站中2、利用修改注册表关联，把文件在windows回收站中的显示方式改变,也就是说它事实上只做了“剪切”操作，所以才会有那么高的速度。用DOS命令就行了. dir/a先显示全部文件然后被隐藏的文件都放在很复杂的文件名的那个文件夹里面.既然没有真正加密，也就可能不用密码访问，方法是在DOS环境下进.\recycled文件夹找.还不行的话,用winRAR对文件进行压缩,然后再解压. 要在窗口下看你的文件的话,可用:attrib 文件名 -h -s -r 先去掉文件的隐藏属性.还不行的话,用winRAR对文件进行压缩,然后再解压.如此,就OK了！
希望你用的是闪电或隐藏加密，否则很难办了。毕竟如果是经过加密算法的文件解决起来很麻烦的！
高强度加密大师是在网络被人抨击次数最多的加密软件。为了解决楼主使用了这个加密软件之后带来的烦恼，在此将它的大概破解过程说一说，希望对忘记了密码的你有所帮助！
1. 本机加密：
＜高强度文件夹加密大师＞把要加密的文件夹内的所有文件转移到当前分区下的
\Recycled\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1\com1.21ec2020-3aea-1069-a2dd-08002b30309d\
中生成一个类似 [6B6F6B6F?] 或其它名称的文件夹，你加密前文件夹内的所有文件就放在这个[6B6F6B6F?] 文件夹内，然后就设置一个假的文件夹在原来加密的位置，这样来实现“加密”。
破解方法：
使用[FolderSniffer]文件夹嗅探器v3.51（绿色版）进入这个文件夹就可以对里面文件进入复制、剪切等操作(先对INFO2\的各个目录进行重命名才能删除哦，否则删除出错)。
2. 隐藏加密：
和本机加密一样，只不过删除了原来的文件夹并将文件夹内的文件移动到
\Recycled\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1\com1.21ec2020-3aea-1069-a2dd-08002b30309d\[6B6F6B6F?] 目录内。
3. 移动加密：
将原来加密的文件夹进行加密后在里面生成 Thumbs.dn 、!解密加密.exe 、desktop.ini 三个文件，desktop.ini 是用来处理文件夹图标的显示；!解密加密.exe 是一个脱壳的程序，可以脱离主程序运行。Thumbs.dn 这个就是原来加密前文件夹内文件的存放地。双击打开只能看不到任何东西（winXP下，其它系统未试过），通过使用压缩工具winRAR 将它进行加压，打开生成的压缩包，进入会看到 desktop.ini 、117789687LIST.mem、117789687、1.mem、1.mem、2.mem、3.mem、…… x.mem ，后面的几个 .mem文件就是原来加密前文件夹内的文件，文件少的且记得加密前是什么类型的文件直接在winRAR压缩包内对 *.mem进行改后缀名（例如原来是1.doc 则将 1.mem改成1.doc）后解压出来就可以实现解密了。如果不记得原来的文件类型可以下载一个[FolderSniffer]文件夹嗅探器v1.3试试里面的文件类型测试功能。
当用FinalData扫描隐藏加密文件所在的磁盘分区时，加密消失的文件加赫然显示在原来的位置上。在FinalData中复制恢复被加密的文件到其它分区上即可完成破解。在使用本机加密后，被加密文件则会被移入回收站的一个特殊的文件夹中，文件夹名字很奇怪，其路径往往为“4D36E96A-E325-11CE-BFC1-08002BE10318.\$$$\com1.21EC2020-3AEA-1069-A2DD-08002B30309D\文件夹名”之类的，由于文件夹是隐藏的，因此在回收站中无法查看到。但在FinalData中打开回收站，就可以看到这个奇怪的目录了，被加密的文件夹就隐藏在其中。
另外，“高强度加密大师”号称“完全保证加密文件的安全，加密数据不会被删除丢失”。的确，在一般情况下，对加密生成的.mem文件进行删除时，会弹出“文件正在使用中”的错误提示。但只要结束“svohost.exe”的进程，就可以删除所谓受到安全保护的机密文件了。所谓的加密软件的原理都是一样的，就是利用了Windows系统的文件夹Bug，甚至可以称之为小技巧。首先加密软件会将需要加密的文件转移到一个受系统保护的文件夹中，接着利用编程方法创建一个含有特殊字符的文件夹，这个文件夹在“资源管理器”和“命令提示符”下都是很难打开的，但是很难打开并不代表不能打开。只要懂得这个技巧的用户都可以轻松的找到被“加密”的文件，而里面的内容则是明文保存的。

Windows系统的文件夹Bug

Windows系统对我们建立文件夹时输入的字符进行了限制，使我们只能输入普通字符。但是这种限制只存在于“资源管理器”中，而在“命令提示符”下则可以突破这些限制，创建一些含有特殊字符或路径的文件和文件夹。这些文件和文件夹不能在“资源管理器”中打开，也无法删除，只能在“命令提示符”中进行操作。下面我们来做两个小试验： 试验一：运行“命令提示符”，输入“md c:\test..\”，回车后就会在c盘的根目录下生成一个名为“test.”的文件夹，在“资源管理器”中，我们无法对这个文件夹进行任何操作，双击后会出现一个错误警告框。如果想要打开这个文件夹，只需要在“命令提示符”中输入命令“cd c:\test..\”即可。删除则用“rd c:\test..\”命令。
借助一款文件夹监视工具——Filemon，用这款软件来监视高强度加密大师对文件的加密过程。

首先安装高强度加密大师，安装完成后运行，在“任务管理器”中会多出一个名为“SVOHOST.EXE”的进程，这个进程将起到加密的作用。然后我们在d盘的根目录下新建一个test文件夹，在这个文件夹里新建一个文本文件hack.txt，内容为123456。

由于系统在运行的时候会对c盘进行很多操作，在用Filemon进行监视时会产生大量的无用数据，所以测试时请选择其他的盘符。

运行Filemon，点击“卷标”菜单，选择其中的“卷标D”，然后点击工具栏上的“过滤”按钮，在包含一栏中输入“SVOHOST.EXE”，这样就可以监视高强度加密大师对d盘的操作。

在d:\test文件夹上点右键，选择“高强度加密”，在弹出的“文件夹加密”窗口中输入一个密码，并在加密选项中选中“本机加密”，然后点击“加密”按钮，这样test这个文件夹就被加密了，在文件夹的图标上会加上一把锁。 利用系统默认隐藏文件夹

我们返回Filemon，可以看到在Filemon中已经监视到了很多的数据。我们首先来看一下其中的一条数据，高强度加密大师访问了“D:\RECYCLER\S-1-5-21-1060284298-811497611-11778920086-500\”这个路径，对于D:\RECYCLER这个文件夹，它是NT构架的系统为系统中的每个用户建立的回收站文件，在其后面的一串数值是帐户的SID值，不同的用户拥有不同的SID值，如果我们在另外一个帐户下使用高强度加密大师进行加密，路径就会和上面的不同。RECYCLER文件夹在资源管理器中默认是不显示的。我们需要点击资源管理器中的“工具”→“文件夹选项”，选中“显示所有文件和文件夹”，并去掉“隐藏受保护的操作系统文件”前面的钩才可以将它显示。
利用文件夹Bug

继续分析Filemon捕获的数据，“D:\RECYCLER\S-1-5-21-1060284298-811497611 -11778920086-500\INFO2\Di1 \com1.21ec20 20-3aea-1069-a2dd-08002b30309d\74657374 ?\”，到这一步，高强度加密大师又创建了INFO2、Di1、com1.21ec2020-3aea-1069-a2dd- 08002b30309d和74657374?四个文件夹，这些文件夹很明显利用了我们在上文中提到的文件夹Bug。 找到被加密的文件

进入“D:\RECYCLER\S-1-5-21-1060284 298-811497611-11778920086-500\”目录，发现这里并没有INFO2文件夹，那么这一长串路径是哪来的呢？其实INFO2文件夹是存在的，不过被隐藏了，我们需要使用工具来打开该文件夹。

这里我们要用到一款文件管理软件“total commander”，运行后点击“配置”菜单→“选项”→“显示”，选中“显示系统/隐藏文件”。用它打开上文中的文件夹后可以看到INFO2文件夹确实是存在的，在同一目录中还有一个desktop.ini文件，这个文件的作用是隐藏INFO2文件夹。
用total commander打开74657374?文件后，就可以找到hack.txt了，里面的内容仍是123456。可见高强度加密大师并没有将文件的内容加密，只是将文件隐藏了起来。这样做的后果可想而知，只要黑客用total commander打开相应的文件夹，所有的文件就一览无遗了。而RECYCLER文件夹通常会存放一些旧文件，如果用优化软件对系统进行优化，这个文件夹里的内容很可能被清除，我们的重要文件也就永远消失了。
请楼主看到答复后，认真阅读！本回答被提问者采纳 参考技术C 这个文件应该是在回收站里
是回收站....你去看看垃圾桶
没有就到去下一个easyrecovery
只要文件没被覆盖..应该可以找回来..这个软件是数据恢复软件
用的时候看看

关于 CoCreateInstance() 方法实现的问题

【中文标题】关于 CoCreateInstance() 方法实现的问题

【英文标题】：Question about CoCreateInstance() method's implementation

【发布时间】：2011-03-30 01:25:22

【问题描述】：

我有一个关于 CoCreateInstnace() 方法如何定位和创建包含在 COM DLL 中的 CoClass 实例的问题。

根据MSDN：

CoCreateInstance 函数提供 通过连接到一个方便的快捷方式 与关联的类对象 指定的 CLSID，创建一个 未初始化的实例，并释放 类对象。因此，它 封装了以下内容 功能：

CoGetClassObject(rclsid, dwClsContext, NULL, IID_IClassFactory, &pCF); 
hresult = pCF->CreateInstance(pUnkOuter, riid, ppvObj) 
pCF->Release(); 

所以我想知道这是否完全 CoCreateInstnace 是如何实现的？或者它只是一个逻辑等价物？如果它的实际实现不是这样，我完全不知道 CoCreateInstnace 是如何找到并创建一个仅在 Windows 注册表中注册的 CLSID 和一些 DLL 位置信息的正确 CoClass 的实例。

感谢您的回复。

【问题讨论】：

它做得更多，但这需要一本书。 究竟你觉得哪一部分像黑魔法？

【参考方案1】：

请在 Visual Studio IDE 中使用调试版本的 MSVCRT 库进行调试来检查它。或者，您可以扫描 VC++ 包含头文件