Domanda:
Cartella di protezione con password in Windows utilizzando un file .bat / .exe: è una cattiva pratica?
Peanuts
2018-02-14 07:13:35 UTC
view on stackexchange narkive permalink

Ho navigato in Internet alla ricerca di modi semplici per proteggere con password una cartella in Windows 7 senza alcun software aggiuntivo né BitLocker.

Ho trovato diversi posti che affermano che l'utilizzo di un file .bat (e quindi convertirlo in un file .exe per evitare che le persone lo aprano in un editor di testo e gli diano un senso) lo consentirebbe.

Tuttavia qualcosa mi dice che questo è un sistema non molto sicuro.

Condivido qui alcuni dei tipici codici dei file .bat che sostengono di funzionare e proteggere con password la cartella:

  @ECHO OFFif EXIST "Pannello di controllo. {21EC2020-3AEA-1069-A2DD -08002B30309D} "goto UNLOCKif NOT EXIST Private goto MDPrivate: CONFIRMecho Sei sicuro di bloccare questa cartella? (S / N) set / p "cho = >" if% cho% == Y goto LOCKif% cho% == y goto LOCKif% cho% == n goto ENDif% cho% == N goto ENDecho Invalid choice.goto CONFERMA: LOCKren Private "Control Panel. {21EC2020-3AEA-1069-A2DD-08002B30309D}" attrib + h + s "Control Panel. {21EC2020-3AEA-1069-A2DD-08002B30309D}" echo Folder lockedgoto End: UNLOCKecho Enter password to Unlock Your Secure Folderset / p "pass = >" if NOT% pass% == wonderhowtogoto FAILattrib -h -s "Control Panel. {21EC2020-3AEA-1069-A2DD-08002B30309D}" ren "Control Panel. {21EC2020-3AEA- 1069-A2DD-08002B30309D} "Cartella Privateecho sbloccata con successogoto End: FAILecho Password non validagoto end: MDPrivatemd Privateecho Private creato con successogoto End: End  

Sarebbe facile da decifrare dopo averlo esportato in un file. exe? E se crittografassi il file .exe per una maggiore sicurezza?

Inoltre, la cartella dovrebbe essere nascosta affinché questo "trucco" funzioni? Quali sono quelle chiavi come 21EC2020-3AEA-1069 -A2DD-08002B30309D ?

Grazie mille per aver fatto luce qui.

Solo trucchi economici che non ottengono nulla.Utile per divertirsi un po 'sui computer della scuola in giovane età, forse.Quali erano le tue fonti?Dobbiamo correggerli o erano solo "per divertimento"?
"(e poi convertirlo in un file .exe per evitare che le persone lo aprano in un editor di testo e gli diano un senso)" Questo non impedirà alle persone di guardarlo.Nel momento in cui si rendono conto che l'exe non funziona correttamente, lo apriranno in un editor di testo per scoprire perché e vedere che è un file batch rinominato.
Nitpick: `if NOT% pass% == wonderhowtogoto FAIL` ->` if NOT% pass% == wonderhowto goto FAIL`
@Pharap che converte non rinomina, probabilmente crea solo un file batch in% temp% e poi lo esegue.
@immibis In tal caso i pali della porta si spostano leggermente: il testo in chiaro del file batch è recuperabile con lo strumento giusto.
@Pharap: Dove penso che "Blocco note" si adatti alla definizione di "strumento giusto" (ci saranno anche un sacco di schifezze, ma il testo dovrebbe essere direttamente visualizzabile) - a meno che, ovviamente, ROT13 "converti in exe" codifichi il testo.
@MartinBonner Quindi siamo appena tornati al punto precedente di guardarlo con un editor di testo.(Trovo Notepad ++ più facile per questo perché può rendere i caratteri non stampabili, anche se a quanto pare Linux ha [`strings`] (https://stackoverflow.com/a/2497183/1377706) che dovrebbe fare anche il lavoro.)
@jakekimdsΨ ad essere perfettamente onesti, l'intera faccenda potrebbe essere riassunta come "goto FAIL"
sei l'unico che usa il tuo account sulla tua macchina?(gli altri utenti hanno il proprio account?) in tal caso puoi limitare la cartella a te stesso
In realtà l'ho riscontrato in natura una volta ed è stato molto facile capire cosa stava succedendo ed esfiltrare i dati.Usa semplicemente un volume VeraCrypt con un nome intelligente, come `thumbs.db` o` .DS_Store`, e tieni fuori tutti tranne gli attori sponsorizzati dallo stato.
Bel trucco .DS_Store.(:
`c: \ cygwin64 \ bin \ find.-name '* .txt' -print0 |c: \ cygwin64 \ bin \ xargs -0 c: \ cygwin64 \ bin \ grep "modello interessante" / dev / null` non si preoccupa del tuo nome di fantasia.E questo è solo lo strumento di primo passaggio.
A parte l'inefficacia della sceneggiatura, è necessaria una cosa del genere?Windows 7 non può eseguire la crittografia sulle cartelle subito dalle opzioni della cartella, anche senza Bitlocker?Penso che anche Windows XP potrebbe già farlo anche se non l'ho mai usato ...
Sembra che questa sia la fonte di OP: https://operating-systems.wonderhowto.com/how-to/lock-folder-without-any-software-with-password-0150639/
Cinque risposte:
#1
+85
Out of Band
2018-02-14 07:38:23 UTC
view on stackexchange narkive permalink

Questo script batch non protegge assolutamente nulla. Rinomina semplicemente la cartella in questione e imposta il sistema e gli attributi nascosti, il che rende la cartella un po 'più difficile da trovare e potrebbe impedire a tuo figlio di dieci anni di vederla, ma ha vinto " t fermare nessun altro.

Al massimo, potremmo chiamare questa "sicurezza dall'oscurità", ma esito persino a chiamarla così, perché in realtà, l'impostazione degli attributi nascosti e di sistema non oscura così tanto.

Non è in corso alcuna crittografia: la cartella non viene protetta da password, la password viene utilizzata solo nel file batch per impedire a qualcuno di utilizzare il file batch per rimuovere automaticamente il nascosto e attributi di sistema e rinominare la cartella in qualcosa di sano.

Sarebbe facile da decifrare dopo averlo esportato in un file .exe ?

Sì. Estrai semplicemente tutte le stringhe dal file .exe e troverai la "password".

E se crittografassi .exe per ulteriore sicurezza?

Di nuovo, lo script non fornisce alcuna sicurezza. Se crittografa il file batch / .exe , lo rendi più difficile da usare, ma in realtà non rendi più sicura la cartella in questione.

Cosa sono quei tasti come 21EC2020-3AEA-1069-A2DD-08002B30309D?

Questi non significano nulla da soli (modifica: vedi i commenti di Bob e Danny sui punti di giunzione per una spiegazione del loro significato). Potrebbero far parte di un sistema più grande di cui fa parte il file batch, ma non aggiungono nulla alla sicurezza della cartella effettiva : è solo una parte del nuovo nome della cartella mentre è "nascosto ".

Cosa fare invece

L'hai già detto: usa BitLocker o VeraCrypt. Veracrypt può funzionare con file contenitore che conterranno un intero albero di cartelle e offre una sicurezza reale, così come BitLocker.

Se non vuoi utilizzare alcun software aggiuntivo, fai ciò che Mike suggerisce e comprimi la cartella, proteggendola con una password. Tuttavia, questo non ti offre neanche lontanamente la sicurezza di BitLocker, VeraCrypt e dei suoi compatrioti.

Sembra che, almeno su alcune versioni di Windows, le cartelle che seguono uno specifico modello di denominazione (`Pannello di controllo. {GUID}`) aprano un'applet specifica del Pannello di controllo invece di mostrare il contenuto.Ovviamente, questo viene banalmente sconfitto rinominando la cartella (nessuna password richiesta), navigando con qualcosa di diverso da Explorer (cmd, powershell, diamine anche il tuo browser web ...), ecc.
Esiste anche una soluzione alternativa per utilizzare [file contenitore con BitLocker] (https://www.howtogeek.com/193013/how-to-create-an-encrypted-container-file-with-bitlocker-on-windows/)
Perché dici che zippare la cartella con una password non offre nulla vicino alla sicurezza di BitLocker?Winzip offre una scelta di AES-128 e AES-256.
Perché la sicurezza non riguarda solo la forza di un algoritmo di crittografia, ma riguarda l'intero sistema.Quindi, anche se la crittografia zip è forte (era molto debole, btw), i programmatori volevano sviluppare un sistema che potesse comprimere i file e crittografare il risultato, non fornire un'archiviazione sicura.Quindi molto probabilmente non hanno pensato a cose come i dati sensibili, comprese le chiavi di crittografia, il paging su disco, o il sistema che registra informazioni sensibili nel registro di sistema, o la sovrascrittura di dati sensibili con byte casuali, ecc.l'archiviazione crittografata sicura è difficile.
@MartinBonner "senza alcun software aggiuntivo".Lo zip predefinito di Windows supporta solo ZipCrypto.
@MartinBonner perché quando si visualizzano i file da uno zip protetto da password i testi in chiaro vengono copiati in% tmp% sul disco rigido;vengono eliminati in seguito, ma utilizzando la normale eliminazione invece di una cancellazione sicura.
Mi ricorda le versioni precedenti di Windows in cui potresti rinominare una cartella in modo tale da non potervi accedere.Potresti rinominare la cartella in qualcos'altro e poi potresti entrare.
L'utilizzo di un nome seguito da un punto e un GUID crea una sorta di collegamento simbolico dal file system a un oggetto Shell che viene creato creando un'istanza della classe con questo GUID utilizzando COM, che deve implementare l'interfaccia appropriata (IIRC [IShellItem] (https://msdn.microsoft.com/en-us/library/windows/desktop/bb761144 (v = vs.85) .aspx)).Viene utilizzato principalmente per creare collegamenti a elementi virtuali come "Risorse del computer" o singole app del Pannello di controllo.
_ "Queste [stringhe esadecimali] non significano nulla da sole" _ - non è corretto, sono [punti di giunzione] (https://superuser.com/questions/993121/what-is-the-significance-of-windows-nomi-file-che-contengono-numeri-esadecimali-lik / 993179 # 993179).Anche se puoi vedere cartelle nascoste, se tenti di aprire questa cartella, aprirà invece il Pannello di controllo.Dovrai rinominare la cartella per aprirla effettivamente.
Bob lo ha già sottolineato, ma aggiornerò la risposta per farvi riferimento.
La sicurezza della crittografia Zip non è buona ... ma probabilmente è adeguata alle esigenze degli OP e raggiunge il suo obiettivo con gli strumenti esistenti sul sistema in modi che si integrano bene con il sistema operativo.Zip risponde efficacemente alla domanda come posta perché è finora superiore al metodo proposto dall'OP: più sicuro e meno complicato.
@Joel - certo, probabilmente è abbastanza buono - ma è così che la mette Bruce Schneier: ci sono sistemi che tengono la tua sorellina fuori dalle tue cose private e altri che tengono tutti fuori.Questi ultimi sono chiamati "sicuri", i primi no.Quindi, se ti preoccupi solo per la tua sorellina, Zip è un'opzione.Se ti preoccupi per qualcuno disposto a spendere qualche centinaio di dollari per assumere un esperto, non lo è.E non ci vuole molto di un esperto: Ratchet freak sottolinea una debolezza molto facilmente sfruttata della soluzione zip.
#2
+20
Mike Ounsworth
2018-02-14 07:27:42 UTC
view on stackexchange narkive permalink

Prima di tutto, dovresti leggere il Principio di Kerchoff:

Un sistema crittografico dovrebbe essere sicuro anche se tutto ciò che riguarda il sistema, tranne la chiave, è di dominio pubblico.

Il sistema che proponi funziona (anche se non userei la parola "sicuro") solo fintanto che il codice rimane segreto. Anche se hai "nascosto" il codice .bat rinominandolo in .exe e hai dato quel file a qualsiasi hacker moderatamente esperto, lo aprirà in un editor di testo appassionato rispetto al blocco note e scopri cosa hai fatto in meno di 30 secondi.

Prova invece a trasformarlo in un sistema basato su chiavi in ​​cui non è necessario nascondere il codice. Ad esempio, comprimere la cartella in uno ZIP protetto da password e accedervi solo in memoria (ad esempio in un programma di visualizzazione zip) anziché estrarlo su disco.

Non è sicuro anche se il codice rimane segreto: questa "protezione" può essere interrotta anche accidentalmente, poiché qualsiasi scansione / ricerca completa del disco troverà i documenti corrispondenti se sono archiviati in questa cartella "nascosta".
@Peteris Diciamo che funziona fintanto che l'esistenza della cartella e il suo nome confuso rimangono segreti, che sembrano essere gli obiettivi del sistema.Utilizza solo un'implementazione davvero scadente per cercare di raggiungerli.
@jpmc26 no, non funziona - la scansione di * tutte * le cartelle funziona anche se "l'esistenza della cartella e il suo nome confuso rimangono segreti";i file all'interno e il loro contenuto sono ricercabili, reperibili e verranno visualizzati anche accidentalmente se l'utente esegue una ricerca per qualcosa e la ricerca (come dovrebbe) scansiona tutte le cartelle sull'unità, o (più probabilmente) utilizza un indice calcolato da tutticartelle sull'unità.Compresi quelli che l'utente non conosceva o che avevano nomi strani e confusi.
@Peteris Se esegui la scansione di tutto e trovi il nome della cartella, sai che esiste e conosci il nome e non sono più segreti.Il fatto che l'implementazione si basi sul fatto che rimangano segreti (cosa che non accadrebbe in un attacco o forse anche per sbaglio, come dimostri) è il motivo per cui è un male.Ecco come si applica qui il principio di Kerchoff;quelle sono informazioni diverse dalla chiave.
#3
+10
gronostaj
2018-02-14 15:39:21 UTC
view on stackexchange narkive permalink

È una cattiva pratica?

Sì.

Il file batch non usa la password per mostra la tua cartella, la confronta e se risulta corretta, esegue i comandi di "sblocco". E nulla ti impedisce di eseguire questi comandi senza controllare la password :

  attrib -h -s "Pannello di controllo. {21EC2020-3AEA-1069-A2DD-08002B30309D } Pannello di controllo "ren". {21EC2020-3AEA-1069-A2DD-08002B30309D} "Privato  

Boom, la cartella segreta è" sbloccata ". Nessun cracking necessario.

#4
+7
ZOMVID-20
2018-02-14 17:40:31 UTC
view on stackexchange narkive permalink

Questo non fornisce nemmeno oscurità: la normale ricerca di Windows continuerà a cercare i file all'interno di una cartella rinominata e nascosta. L'ho appena provato per curiosità.

Inutile aprire il file exe; fai la solita ricerca di file del tipo giusto, che è esattamente ciò con cui inizierebbe qualcuno che cerca di rubare i tuoi file (beh, forse subito dopo i tuoi documenti), e verrà visualizzato.

Non va nemmeno bene per un .bat. Se l'obiettivo era oscurare un file da ospiti analfabeti di computer, ma mantenerlo visibile a tutti gli utenti esperti, è possibile spostarlo in una partizione senza alcuna lettera assegnata, chiamandolo tramite GUID.

Ci sono anche trucchi più fantasiosi per oscurare un pipistrello che trasformarlo in un exe, come renderlo auto-modificabile, ma niente che fornisca sicurezza senza crittografia.

#5
+2
FrankPl
2018-02-15 01:23:50 UTC
view on stackexchange narkive permalink

Questo script si limita a impostare il sistema e i flag nascosti della cartella "Private" ( attrib + h + s ), che lo nasconde dalla visualizzazione normale in Windows Explorer e da un elenco predefinito sulla riga di comando utilizzando dir e inoltre rinomina la cartella in modo che (se la prima modifica non impedisce all'utente di vederla), non viene mostrata come cartella in Windows Explorer, ma come pannello di controllo, che è lo scopo della parte del nome dall'aspetto buffo "{21EC2020-3AEA-1069-A2DD-08002B30309D}".

Tuttavia, la prima modifica può essere facilmente aggirato modificando l'opzione Explorer impostata su "mostra file, cartelle e unità nascosti". In realtà, questa è l'impostazione sul mio computer. Per il comando DIR , dovresti semplicemente usare DIR / a: HS invece di puramente DIR per mostrare la cartella.

E la seconda modifica si applica solo a Windows Explorer, non alla riga di comando o a qualsiasi programma che elenca solo i file senza utilizzare Windows Explorer. Nota, tuttavia, che la finestra di dialogo di apertura o salvataggio del file mostrata in molte applicazioni è anche una variante di Esplora risorse di Windows, e si comporta principalmente allo stesso modo.

In realtà, potresti modificare l'attributo da solo usando l'attributo e per l'attributo "nascosto", ma non l'attributo "sistema", anche nella finestra di dialogo delle proprietà della cartella in Esplora risorse di Windows. E la ridenominazione, ovviamente, potresti farlo anche dalla riga di comando. E poiché puoi apportare le modifiche, puoi anche ripristinarle dalla riga di comando senza bisogno di conoscere alcuna password.

Quindi, alla fine, questo script nasconde solo la cartella da Windows Explorer o l'elenco dei file in modalità predefinita. Ma gli utenti con una certa conoscenza tecnica possono aggirarlo. In effetti, la password è necessaria solo se si desidera utilizzare questo file batch per scoprire la cartella, ma non se lo si fa solo dalla riga di comando o in strumenti come i file manager di terze parti, quindi è completamente inutile. E quindi la discussione su come nasconderlo è discutibile.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...