加密解密大比拼

 电脑在我们身边逐步扮演着越来越重要的角色，越来越多的机密数据存放在我们的电脑中。随着人们安全意识的不断提高，我们也开始大量使用密码来保护自己的机密数据。然而，经常还能听到“XX网站被黑客攻击，用户记录被删除……”，“XX公司投标时发现自己存放在电脑中的价格体系早已被竞争对手得知……”等等。我的密码安全吗？黑客是如何破解我的文件？我究竟应该怎么做才能安全地存储数据？相信这样的疑问常常会出现在我们的脑海中。 　　笔者一直认为，知已知彼，方能百战百胜，想知道如何安全存储数据，就需要了解攻击者究竟使用什么方法来破解开我们的文件。本文就将从用户和攻击者两个角度来谈论一下常见的加密方法与破解思路，希望能给广大读者提供一些帮助。 　　一、系统级加密 　　1. BIOS开机密码 　　[用 户] 　　最简单易行的系统密码当数BIOS密码了，设置好后，每次开机进入Windows之前，电脑都会提示您输入密码，只有输入正确的密码后，才能正常使用电脑，要是没有密码，那么您除了开机关机，恐怕什么也干不了。 　　[设 置] 　　1. 开机按Delete键进入BIOS程序，出现类似于图1的主菜单画面。 dl.bitsCN.com网管软件下载2. 用光标键将光条移至SUPERVISOR PASSWORD（超级用户密码）后回车输入密码。 　　3. 选择BIOS FEATURES SETUP（BIOS特性设置）后进入图2子菜单。再将光条移至Security Option（安全选项）后，将现有参数设为System（开机时进行密码验证）。 　　4. 按ESC键退回主菜单，选择 SAVE & EXIT SETUP（保存设置并退出BIOS程序），系统将提示是否保存所做的修改，按Y键重启电脑后，开机密码就开始生效了。 　　注：如果您的电脑BIOS界面与图片不符，请参照随机主板说明书进行设置 　　[攻击者] 　　BIOS开机密码在电脑执行其它程序之前就已生效，安全性还是比较强的。但对于攻击者而言，只需将主机箱打开，把负责BIOS供电的电池放电或将BIOS清零跳线短接，就能轻易清除BIOS数据，这样，开机密码也就随之消失了。 　　[对 策] 　　上述的BIOS清除方法已经广为人知。因此，要想对付此类攻击，只有防止外人随便打开你的机箱，对于存有重要数据的电脑或服务器，应配置专门的加锁机房并且只允许授权用户进入，另外如果机箱上带有机箱锁，锁住它也是个好办法，因为一般的黑客恐怕都不是开锁专家。 　　2. Windows密码 dl.bitsCN.com网管软件下载　　Windows是我们使用最多的操作系统，而进入Windows之前的登录密码自然也就成为我们的第二道屏障。 　　Windows 98 　　[用 户] 　　Windows 98中的密码只是起到区别个性设置的作用，任何一位用户在不知道密码的情况下都可以按ESC键以匿名用户的身份来登录系统，我们可以通过取消匿名登录功能来达到验证98登录的目的。 　　[设 置] 　　1. 添加授权用户帐户。方法是：进入控制面板，选择“用户”→ “新建”→“添加用户”→输入欲添加用户名→输入该用户密码，用同样的方法给每个授权用户建立一个帐户。 　　2. 取消匿名登录功能。方法是：点击“开始”→“运行”→ 输入Regedit，进入注册表编辑器，依次打开到“HKEY_LOCAL_MACHINE / Network / Logon”，在右窗口点鼠标右键选择“新建”→“DWORD值”，将其命名为“Mustbevalidated”，并将值改为1，退出注册表编辑器。 　　3. 修改网络登录值。方法是：进入控制面板，双击“网络”→ “主网络登录”→ 选择“Microsoft友好登录”。如果没有该选项，请点击“添加”→ “客户”→“Microsoft”自行添加该组件。 　　[攻击者] 　　按上述方法设置好的Win98系统，将要求用户必须具备登录权限，如果登录过程中按ESC键，会弹出提示框拒绝其登录系统。然而破解方法却十分简单，因为Win98会将用户密码存入到一个扩展名为PWL的文件中，而删除这个文件后，系统又会自动生成一个密码为空的PWL文件代替它处理用户登录活动，因此，只需在DOS中删除Windows目录下所有的PWL文件，就可以使用空密码进入任何一个帐户中。 so.bitsCN.com网管资料库任你搜 　　[对 策] 　　既然攻击者能通过删除PWL文件来破解98密码，那么只要避免外人接触到电脑就行了，但鉴于Win98的整体安全性不高还是建议您改用Windows 2000 / XP操作系统。 　　Windows 2000 / XP 　　[用 户] 　　2000 / XP的用户帐户按权力大小可分为管理员、用户、来宾三级。进入系统时，要求用户必须输入帐户名和密码，而后，输入的帐户和密码将送至一个称为SAM的帐户安全数据库中进行比对，如果帐户与密码在SAM中能找到，并且是正确的，系统就会将SAM中登记的权限分配给该用户并准许其进入系统进行相应权限的操作，而如果密码不正确或者在SAM中根本没有该帐户，用户的登录请求将被拒绝。 　　[攻击者] 　　由于Administrator帐户具有最高权力，所以一直是黑客们的主要攻击目标，他们一般使用三种方法来窃取。 　　删除SAM文件（仅适合于Windows 2000） 　　这个方法类似于刚才讲过的PWL文件的原理，删除Winnt / System32 / Config中的SAM文件后，2000系统也会自动生成一个帐户名为　　Administrator口令为空的SAM文件，黑客就可以此非法进入系统。 注：此法只适用Windows 2000，如删除XP的SAM文件，系统将报告错误，无法达到破解目的。 bitsCN.com中国网管联盟 　　在Windows XP中，其实还存在一个缺省的SAM文件，它保存在Windows / Repair目录中，可以将它复制到Windows / System32 / Config目录，覆盖原文件，在这个数据库中也包含了一个Administrator帐户，当然密码不是空的，而是管理员安装XP时所设的密码。 　　修改帐户密码 　　看来对付2000和XP不太容易，攻击者一般还会有其它的方法。例如使用第三方软件公司Winternals的ERD Commander光盘来修改指定帐户的密码。它的原理是，在光盘上启动一个Windows PE小型操作系统，来执行密码修改程序，直接将SAM中指定帐户的密码修改掉，来实现非法进入系统的目的。 　　穷举法破解帐户密码 　　既然SAM中存在着所有本机帐户与密码，那么，攻击者就可以通过不断测试字符组合来达到破解的目的，这种方法称为穷举法。当然，不是让攻击者自己去组合字符，而是由计算机来完成。例如，某个密码为28，那么，计算机会按照下列顺序进行测试：1、2、3…9、10、11、12…25、26、27、28，这样，按现在的计算机的速度每秒钟测算20万个组合来计算，这个密码恐怕连半秒钟都没到就被破解了。这方面有代表性的软件是LC5。 　　由此可见，这三种方法各有千秋，前两种方法速度快且简单，缺点就是如果用户使用NTFS 5的EFS加密功能后，所有的加密数据由于证书丢失将无法读取，而后一种方法更具危险性在于，攻击者可以以正常用户的身份窃取你的资料，并完全不被察觉，当然您的EFS加密对攻击者来讲也就不起作用了 ^_^ 需要什么来搜一搜吧so.bitsCN.com　　[对 策] 　　从上述攻击手法来看，防止外人接触自己的电脑仍是最有效的方法，而及时安装SP包（系统补丁包）则可以堵住很多已知的系统漏洞，另外，采用什么样的密码也要仔细斟酌，有的朋友会说，只要把密码位数设得长一点不就行了么。其实，这句话并不对，如果按照穷举法的思路，一个密码的长度是6位或8位，仅数字组合就将有1000000和100000000种可能，按计算机每秒20万速度计算，的确需要很长时间。但是聪明的黑客们还有一种叫黑客字典的东西，这当然不是我们平时的英汉词典，而是一份使用频率最高的词组和数字组成的数据库，毫不夸张地说，一个好的黑客字典基本上包含了我们常用的80%以上的密码。 　　举个例子，如果一个人把他的8位数生日当做密码 —— 19791219，使用穷举法的确需要很长的时间，但大家都知道，使用电脑的人的寿命不会超过100年，这样年份从1900开始至今有105种变化，月份有12种变化，日数有31种变化，按照这种规律生成的字典破解这个八位密码需要的时间不会超过10秒钟。因此，要想真正避开黑客字典的破解，您必须在密码的选择上复杂化，采用大小写与数字相结合的方式并且不使用容易被猜测的词组，这就是我们常说的密码复杂化原则，这点在文章的末尾还有介绍。 so.bitsCN.com网管资料库任你搜　　二、文件级加密 　　系统级加密就好像是给大门加了把锁，可当小偷将门锁撬开后，屋里的东西也就唾手可得了。要是我们把屋里值钱的东西也都锁上，那小偷不也得干瞪眼么。文件级加密就是这种作用。 　　1. Office 文件（Word / Excel / PowerPoint） 　　[用 户] 　　微软Office 97以上版本的软件均支持加密存储，就是说当用户加密存储一个文件后，再次打开或者编辑时，软件会弹出如图3所示对话框，提示输入密码，如果用户无法提供密码，自然就无权读取或修改这个文件了。 [设 置] 　　打开欲加密的文件，选择“文件”→“另存为”，将弹出另存为对话框，点击“工具”→“常规选项”，在随后出现的如图4的对话框中可以见到“打开权限密码”和“修改权限密码”两个选项。 需要什么来搜一搜吧so.bitsCN.com 打开权限密码：即当用户打开该文件时，只有输入打开密码后才能读取，否则将无法阅读文件内容。 　　修改权限密码：即当用户打开该文件时，只有输入修改密码后才能修改，否则只能读取文件内容。 　　注：Word 2003修改密码的位置略有变化，请选择“文件”→“另存为”→“工具”→ “安全措施选项”。 　　[攻击者] 　　破解Office文件的代表作是Advanced Office XP Password Recovery如图5，它能对包括Office 2003在内所有版本的Office文件进行解密，支持黑客字典和穷举破解，速度非常快。选择好字典存放的位置或者穷举破解的位数与内容后点击工具栏上Start Recovery按钮即可，破解完成后，软件会以报表的形式通知您。 [对 策] 　　可以看到，破解Office密码的方法就是穷举或者字典，因此，只要我们遵循密码复杂性原则就可以安心地使用Office软件了。 　　2. 压缩文件 WinZip / WinRAR 　　[用 户] bitsCN.com中国网管联盟　　WinZip和WinRAR是我们最常用的压缩软件，在帮助我们压缩数据的同时，也提供了密码保护功能，当一个压缩包设置了密码保护后，在用户打开时会要求出示正确的密码，以避免非法的读取。 　　[设 置] 　　压缩软件的设置非常简单，这里以WinRAR为例，讲解如何对文件进行加密压缩。 　　1. 右键点击要压缩的文件或文件夹，选择“添加到压缩文件”。 　　2. 出现如图6的对话框，选择“高级”→“设置密码”，出现“带密码压缩”对话框 3. 将密码输入后，点击“确定”按钮，就会生成一个加密的压缩包。 　　[攻击者] 　　对于加密的压缩文件，也只有穷举法和字典破解两种方法，同样有代表性的是Advanced RAR Password Recovery和Advanced Zip Password Recovery，图7就是Advanced RAR Password Recovery的主界面，看着眼熟吧，没错，和刚才讲过的Office破解软件的界面差不多，操作也很类似，选择好穷举范围或指定好字典位置后就可以点击Start按钮解密了。 bitsCN.com中国网管联盟 [对 策] 　　感觉好像有点老生常谈了，没什么说的，和其他几个软件一样，注意一下密码复杂设置就行了。 　　3. 邮件客户端 Foxmail 　　[用 户] 　　Foxmail想必大家经常在用，它那方便的模板式输入和简便的多帐户管理令它在众多的邮件客户端软件中脱颖而出，为大家所认同。Foxmail在多帐户管理中引入了一个访问口令功能，就是可以让多个用户在一台电脑中使用电子邮件，帐户之间通过访问口令来进行区别，以实现安全访问的目的。 　　[配 置] 　　访问口令的配置是非常容易的，在欲设置的帐户上点击右键，选择“访问口令”，然后在弹出的对话框中设置好密码就行了。如图8 [攻击者] bitsCN.com中国网管联盟　　Foxmail只是进行了简单的口令验证，邮件本身并没有加密。破解的方法也很多，例如，可以在硬盘上找到该邮箱所在的文件夹，在其中就能找到一个名为Account.stg的文件，这个文件中包含着密码，最简单的办法就是删除它，软件会新建一个不带密码的文件来代替它，攻击者就可以毫无遮拦地查看你的邮件了，或者还可以新建一个帐户，将欲破解帐户所在文件夹中的文件（除了Account.stg）全部拷贝到新建的文件夹中覆盖原文件，看完后再将新建的邮箱删除，而您下次使用时还会输入原来的密码，不留一点痕迹。 　　[对 策] 　　看得出Foxmail本身的安全性并不高，如果您的邮件很重要，建议您可以将邮件导出到Word文件中，再利用Office自身的加密技术或一些专业的第三方软件对其加密来保证邮件的安全。 　　三、专业级加密 　　不知大家看了刚才的讲述什么感觉，是不是有点不寒而栗。没错，越是常用的软件，对付它的破解软件就越多，从原理上讲，使用穷举法肯定能将密码破解出来，只不过是时间的问题，可能是几小时、几周、几年、几百年，而问题就在于使用一个好的密码就能大大延长破解的时间。 　　现在，也有一些专业的加密软件，它们是由一些专业的计算机安全厂商编制的，可以根据用户输入的初始密码通过加密算法自动生成一个高质量的密钥，而后再利用这个密钥对您的文件进行加密，这样，文件的安全性就大大增强了。而破解这些软件也要求黑客们具有非常丰富的经验以及对加密算法的理解，没有成形的软件和规律可循。因此，本章将不再介绍攻击者的思路，而将归纳一些使用时需要注意的方面。 so.bitsCN.com网管资料库任你搜　　1. 伪装加密专家 —— Hide In Picture 　　[用 户] 　　看看它的名字，大家可能心里已经有点数了，是将什么东西隐藏到图片中的软件。没错，不过在说它之前，咱们先看一幅图片，感受一下它的魅力。如图9 可爱的小兔子，漂亮吗？你能想到这幅看起来好像是送给女朋友的图片中隐藏着一份满是密码的Word文件吗？这就是今天要给大家介绍的图片伪装专家 —— Hide In Picture，它有如下几个特点： 　　能将文件隐藏于BMP图片中。 　　有的朋友会问，不能用JPG吗？其实，问题就在这里，伪装加密需要将一个文件隐藏在一张图片中，所以必须要求图片中有可供存放文件的位置。大家都知道，几MB的BMP文件之所以能被压缩为几百KB的JPG文件，就因为BMP格式没有压缩，在它里面有大量的冗余字符，而这个特点正是伪装加密软件所需要的，这样，只需对图片进行轻微压缩，就能顺利地将文件放入图片中，而JPG图片因为压缩比太高，就不可能完成这个工作了。 bitsCN全力打造网管学习平台 　　压缩后和原图片大小一样 　　这也是Hide In Picture的一个特点，其实还有一款和它类似的加密软件叫Z-File，区别就在于Z-File加密完成后，图片大小会增加，而清晰度不受影响，这样，过大的图片尺寸首先就会引起攻击者的怀疑，无形中增加的加密文件的危险程度。 　　利用人们的心理定势 　　就像刚才一开始问大家的一样，当大家都以为这是一幅送给女朋友的图片后，你还会费尽心思地考虑这里面会有什么加密文件吗？加密的最高境界莫过如此，越是机密的东西就越不能让人注意。没准哪个黑客同志还把你的加密图片做成桌面每天欣赏呢 ^_^ 　　高度安全性 　　加密算法是采用极难破解的blowfish，只要用户输入的初始密码非常复杂，那么系统生成的密钥被破解的可能将非常低。如果您的图片足够大，还可以把一张已加密的图片再次嵌入至另一幅图片中进行二次加密。 　　操作异常简单 　　恐怕这款软件是我平生见过的最简单的软件了，看看它的尊容吧，一共就两个功能：加密、解密，没有一点花哨的东西。不多说了，一起来看看怎么用吧 　　[设 置] 　　1. 图10是主界面，怎么样，没骗你吧，你见过比这再简单的软件吗？ blog.bitsCN.com网管博客等你来搏 2. 点击那个按钮，选择一幅BMP图片做为宿主（就一个按钮，应该不会按错 ^_^） 　　3. 出现如图11的操作界面，介绍一下按钮，从左到右依次是“添加文件”、“提取文件”、“保存加密图片”、“另存为其它类型图片” 至于具体用法嘛，大家自己去试吧，相信用不了一分钟就会了，在这不浪费大家网费了。 　　[注意事项] 　　首先，任何一种加密算法都要由用户提供初始密码，因此，初始密码仍要遵循密码复杂性原则。 　　其次，从图片的选材来讲，最好找一些类似于上幅图片那样明暗分布明显的，因为文件放进去后，图片会因压缩有少许的清晰度下降现象，而这类图片一般不会太引人注意。 第三，由于BMP图片的尺寸从几百K到十几M都有，建议大家选择一些尺寸稍小的，避免引起注意就行了。 需要什么来搜一搜吧so.bitsCN.com　　第四，也是最重要的，加密后的图片千万不要再用编辑软件修改或保存了，因为那样会直接破坏掉图片内的加密序列，这样你的密文也将随之被破坏掉，没法读取了。 　　2. 专业文件加密机 —— ABI-Coder 　　[用 户] 　　ABI-Coder是一款专业的文件加密软件，它虽然没有采用Hide In Picture那样迷人的伪装技术，但在加密算法上却十分出色，支持最高448位的Blowfish算法加密（眼熟吗？跟Hide In Picture默认加密算法一样，只不过Hide In Picture只支持128位）、168位的3倍DES加密或者256位的AES加密。 　　[设 置] 　　1. 启动软件，出现如图12的主界面 2. 界面右边是硬盘结构，在里面选择好要加密的文件。例如我要加密的文件放在桌面下Encrypt文件夹中，是一个名为 数据.doc的文件 　　3. 在左边密码栏中输入初始密码，在输入的同时，软件会测试生成的密钥大小。例如通过我这个初始密码生成的密钥约70位，这样的密钥长度对于一般的安全要求已经够用了。 bitsCN.com中国网管联盟 　　4. 最后，点击Encrypt（加密）按钮，文件就被加密了。加密后，该文件的扩展名变成abi，需要解密时，只需打开ABI-Coder，选中已经加密的abi文件，输入密码，再点击Decrypt（解密）按钮就行了。 　　[注意事项] 　　和Hide In Picture一样，主要注意初始密码的位数和复杂程度。另外，由于ABI-Coder生成的文件是.abi扩展名，让人一看就是加密文件，所以应尽量将初始密码设得长一些，以免被人轻易解开，如果您输入的初始密码不足8位，软件也会给您提示，并拒绝加密。 　　3. 图片加密专家 —— PhotoEncrypt 　　其实上面介绍的两款软件都能实现对图片的加密，只不过注重的都是高强度加密，并且一次只能对一个文件进行操作，而图片一般不要求太高的加密强度，但必须要操作简单，同时处理多个图片，这里要介绍给大家的PhotoEncrypt就是这样一种软件。如图13所示 [用 户] 　　PhotoEncrypt的特点非常出众，笔者简单列举了几项： bitsCN.com中国网管联盟 　　加密包概念 　　PhotoEncrypt引入了加密包概念，可将一批图片生成一个加密包，不同的加密包采用不同的加密算法和访问密码，非常便于我们分类存储图片。 　　多图片管理 + 内置图片浏览器 　　看看是不是有点ACDSee的感觉，PhotoEncrypt内置有图片浏览器，能以缩略图或图标等方式显示每张图片，还有幻灯片播放的功能。 　　支持多种图片格式 　　从图中可以看到，软件支持jpg、bmp、gif几种常见格式，另外还支持png、tif等格式。图中那个Encrypt.bmp就是刚才用Hide In Picture软件嵌入数据文件的图片，看看，在这里一样正常显示。 　　加密包自动关闭功能 　　这是个什么功能？听起来挺新鲜的。原来PhotoEncrypt考虑到打开的都是加密文档，如果主人一段时间不访问时，软件会自动把打开的加密包关闭，避免主人有事走开后外人看到图片。自动关闭的时间可以自己在“文件”菜单→“参数”→“常规”中设置。 　　多种加密算法可供选择 　　加密软件的灵魂就是加密算法和密钥长度。PhotoEncrypt在这方面也很体贴，它提供给用户32位、64位、128位三种不同的加密算法以供选择。 　　方便的导入和导出 bitsCN.com中国网管联盟 　　PhotoEncrypt还具有非常方便的导入与导出功能，您可以随意将新的图片添加到加密包里，也可以将加密包里的图片导出变成正常图片，两种操作一样方便。 　　[设 置] 　　按下列顺序即可对图片进行加密： “新建加密包”→ “输入初始口令”→ “导入图像文件”→ 完成。 　　解密其实就是将这个过程反过来： “打开加密包”→ “输入初始口令”→ “浏览图片” 　　1. 新建加密包 　　打开软件后，点击“文件”→“新建”，在弹出的对话框中输入加密包的名子和存储位置。 　　2. 输入初始口令 　　出现如图14的对话框，输入初始口令并选择加密算法。 3. 导入图像文件 　　在随后的提示中，会要求您导入欲加密的图片，按要求操作即可。 　　[注意事项] 　　由于密钥越长，加解密花费的时间也越长，如果您对图片的安全性要求不高的话，可以采用低强度加密算法来提高处理速度，尤其适合低配置电脑。 play.bitsCN.com累了吗玩一下吧 　　四、写在最后 　　本文从用户和攻击者两个角度探讨了常见的加密和解密操作，但是并没有涉及网络攻击等方面的内容。同时还要知道，攻击者不会只使用上面讲到的软件来进行破解工作，写这篇文章的目的就是想让大家换位思考，了解一下攻击者的思路，做到知已知彼。最后，笔者总结了十条电脑安全操作的原则和大家一起分享，也以此作为本文的结束。 　　1. 对自己的主机要格外留心。让陌生人接触到主机就是最危险的开端。 　　2. 不断升级自己的操作系统和杀毒软件。下载新版的SP包（Service Pack 软件补丁包）堵住已知的操作系统漏洞；升级最新的杀毒软件，防止病毒或木马进入电脑。 　　3. 对重要文件一定要在文件级别上进行加密。这样无论将文件拷到任何一台电脑上都需要解密后才能使用，增加被攻击者截获的文件安全性。 　　4. 非常重要的文件应使用多种方法进行嵌套加密以提高安全性。最简单的例子，可以用Word设置一个密码，再将这个已加密的Word文件使用ABI-Coder二次加密。 　　5. 千万不要使用自己的名字、生日、电话号码或常见英文单词等容易被外人猜到的序列做密码，因为这样的密码跟没有密码一样，太容易破解了，而且尽量要使用多个密码，切忌一个密码既可以收取邮件、又可以打开加密文件、还可以访问内部局域网。要真是这样的话，那攻击者破解了您的一个密码岂不是可以在您的电脑世界中为所欲为了。 bitsCN全力打造网管学习平台　　6. 现在很多电子邮箱会请用户留下密码提示问题，以便用户在忘记密码时通过问题找回密码。请不要留下让人一看就懂的答案。例如，我清楚地记得有位用户的提示问题是“兔子有几条脚？”他留的答案是“4”。 　　7. 尽量不要使用对话框中保存密码的功能（包括ADSL路由器），因为那样就肯定在电脑中留下了密码，没被攻击时感觉不出什么，可一但受攻击了…… 我看还是给以后省点事儿吧，没选那个对勾了。 　　8. 黑客有时会针对一个网段进行扫描攻击，可能哪天您福星高照，就轮到您了，所以不要以为自己谁也不惹，黑客就不会盯上您了，最好从现在开始就改变一下您的安全习惯。 　　9. VPN和电子证书邮件是在互联网上安全传递数据时使用的常见技术，重要的数据除了对文件本身加密以外建议您同时使用这些技术来保障安全传递。 　　10. 一个来历不明的网页或一封来历不明的邮件，也许就是潘多拉的盒子，人不范我，我不范人，小心为妙。比如最近名气较大的木马邮件“小燕表妹”，就是利用了人们的思维定势制作的一个巨大陷阱。