1、Filemon是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并凫局尢捎允许win7用户对记录的信息进行保存、过滤、査找等处理。 首先打开FileMon软件,软件默认宇体太小,通过“选项”下的“字体”项进行设置,把字体调大,调到8号或者10号字比较合适。 接着点击“选项”一“过滤/高亮”,在打开的窗口中,在“包含”中输入UnrtViewer.exe,这样FileMon就只显示和这个软件相关的动作了,否则有很多干扰项,不便于我们査看。
2、接下来运行UnrlViewer.exe(默认在C:ProgramFiiesUnnooDocumentProtector目录下),并打开加密的文档,如果设置了密码,还需要输人密码,之后在FileMon中可以监视到一串新的动作。其中非常关键的就在于:C:\VIMDOWSundat******.mht,mht文件时网页文件,但是从监视的动作中可以看到,mht文件打开之后马上就删除掉了。
3、事实上,这正是问题的关键:在加密过程中,是先把Office文件转換为mht格式,然后再加密保存为unrl格式,而解密阅读时也是如此,因此,提取mht文件就可以挽救即将“自动销毁”的加密文件。匣理明白了,那么mht文件在硬盘的什么位置,又该如何提取昵?
