我们返回Filemon，可以看到在Filemon中已经监视到了很多的数据。我们首先来看一下其中的一条数据，高强度加密大师访问了“D:\RECYCLER\S-1-5-21-1060284298-811497611-11778920086-500\”这个路径，对于D:\RECYCLER这个文件夹，它是NT构架的系统为系统中的每个用户建立的回收站文件，在其后面的一串数值是帐户的SID值，不同的用户拥有不同的SID值，如果我们在另外一个帐户下使用高强度加密大师进行加密，路径就会和上面的不同。RECYCLER文件夹在资源管理器中默认是不显示的。我们需要点击资源管理器中的“工具”→“文件夹选项”，选中“显示所有文件和文件夹”，并去掉“隐藏受保护的操作系统文件”前面的钩才可以将它显示。

图1.捕获高强度加密大师的加密过程

利用文件夹Bug
    
    继续分析Filemon捕获的数据，“D:\RECYCLER\S-1-5-21-1060284298-811497611 -11778920086-500\INFO2\Di1 \com1.{21ec20 20-3aea-1069-a2dd-08002b30309d}\74657374 ?\”，到这一步，高强度加密大师又创建了INFO2、Di1、com1.{21ec2020-3aea-1069-a2dd- 08002b30309d}和74657374?四个文件夹，这些文件夹很明显利用了我们在上文中提到的文件夹Bug。

找到被加密的文件
    
    进入“D:\RECYCLER\S-1-5-21-1060284 298-811497611-11778920086-500\”目录，发现这里并没有INFO2文件夹，那么这一长串路径是哪来的呢？其实INFO2文件夹是存在的，不过被隐藏了，我们需要使用工具来打开该文件夹。
    
    这里我们要用到一款文件管理软件“total commander”，运行后点击“配置”菜单→“选项”→“显示”，选中“显示系统/隐藏文件”。用它打开上文中的文件夹后可以看到INFO2文件夹确实是存在的，在同一目录中还有一个desktop.ini文件，这个文件的作用是隐藏INFO2文件夹。

图2.desktop.ini的内容