这仅仅是偶然，还是“王者加密大师”就是以这种无保护方式保存口令呢？为验证口令保存方式，我们需要重新制作加密样本文件，进一步查看试验结果。

我们首先建立一个0字节的TXT文本文件，不添加任何内容。即在任意目录下，通过鼠标右键建立一个文本文件，命名为“空白文档.TXT”。此时，我们还没有输入任何内容，利用Winhex/X-ways Forensics打开该文件，可看到下图显示状态。

3、利用“王者加密大师”对该文件加密。本次，我们设定口令为1234567890。 由于文件中没有任何数据，因此，加密后显示出的数据均为“王者加密大师”经过一定算法自动生成的，有助于我们对该文件格式进行分析。

用Winhex打开加密后的TXT文本文件，可发现，口令果然以明文形式保存在文件中。

三、文件签名的概念

通过两个实验，我们可以证明，“王者加密大师”通过一定算法对数据进行保护，但为了解密方便，该软件没有对口令进行保护，而是直接将口令以明文形式保存在加密文件头部。只要利用Winhex/X-ways 打开该文件，即可直接得到了用户添加的原始口令。

但在实际的数据分析过程中，关键问题是如何在上千、上万份文件中发现这些文件。怎么才知道某个文件是由“王者加密大师”添加了保护口令呢？如果文件无法发现，则更谈不上破解保护口令，察看文件内容了。

在Winhex/X-ways Forensics中，我们可以通过自定义“文件签名”库，快速检测到“王者加密大师”的加密文件。

1、文件签名库

文件签名，简单说就是某类文件的独特标识信息。这些标识，有时可以显示出ASCII码字符，如RAR压缩文件，在文件头部，可以看到Rar!这四个字符。通过这四个字符，Wi

nhex就可以判断该文件属于RAR压缩文件。但在多数文件头信息中，文件签名无法显示出ASCII码字符，那么就需要使用十六进制数值来表示该文件签名。如MS OFFICE 文件中，文件签名就是D0CF11E0A1B11AE1，Winhex/X-ways Forensics通过这些十六进制数值，也可以认定该文件属于MS OFFICE 类型文件。

通常来说，Windows注册表关联了许多种文件扩展名类型，通过定义扩展名和应用程序的关联，来确定Windows使用什么程序打开某种类型的文件。比如，Windows定义了DOC扩展名文件使用MS Word来打开，TXT文件使用记事本来打开。

但是，如果人为改变了某种类型文件的扩展名，例如，某人将SCAN.JPEG图片改名为CONTACTS.XLS，或将1.DOC改名为1，没有设定扩展名，那么Windows就无法准确地关联这些文件类型了。而利用文件签名，我们可以忽略文件扩展名是否正确，通过搜索文件签名特征值，识别出某个文件的真实类型。本例中，我们如果能够准确判断出“王者加密大师”加密文件的文件签名值，即可借助Winhex/X-ways Forensics将一个磁盘中所有包含此文件签名的文件查找出来。

这就是数据分析过程中，文件签名所起到的重要作用。

2、Winhex/X-ways Forensics文件签名定义方法

在Winhex/X-ways Forensics中，判定文件签名状态是否匹配主要依据文件签名值和文件扩展名，这些信息包含在Winhex/X-ways Forensics 文件签名数据库中，文件名为File Type Signatures.txt。