約稿贈書活動之十：關於取證過程中遇到加密壓縮包和文件時的處理方法

原標題：約稿贈書活動之十：關於取證過程中遇到加密壓縮包和文件時的處理方法

週日歇了一天

精彩繼續！

第十篇

十全十美！

今日份分享的作者

告訴你各種壓縮檔案的破解

各位看文的大咖

也掏出你的絕活來吧！

———————————————

1. 瞭解常見壓縮格式（演算法），壓縮包保護的各種加密方式

如果從網際網路上下載了許多程式和檔案，可能會遇到很多壓縮檔案。這種壓縮機制是一種很方便的發明，尤其是對網路使用者，因為它可以減小檔案中的位元和位元組總數，使檔案能夠通過較慢的網際網路連線實現更快傳輸，此外還可以減少檔案的磁碟佔用空間。在下載了檔案後，計算機可使用WinRar或Stuffit這樣的程式來展開檔案，將其復原到原始大小。如果一切正常，展開的檔案與壓縮前的原始檔案將完全相同。壓縮包是計算機壓縮檔案、資料夾的載體。

無論是什麼壓縮軟體，其目的就只有一個：減少冗餘資料。例如某行字是“000011111”，就可以壓縮為“0（4）1（5）”，在保證資料沒有受損的同時，減少其佔用的體積。

有很多不同的壓縮檔案格式，例如ZIP、RAR、7Z等，實際上這只是不同的壓縮規範，就算是同樣的格式，例如都是ZIP，其中的壓縮演算法可能也是不一樣的，例如ZIP可以使用Shrinking、Reducing、Deflate等演算法。

壓縮檔案常見格式有：rar 、zip、7z、CAB、ARJ、LZH、TAR、GZ、ACE、UUE、BZ2、JAR、ISO，以及MPQ。

平時常見的jpg，rmvb等格式的音視訊檔案也屬於壓縮檔案。

2. 掌握常見壓縮包破解的方法

（1）檢視註釋

以360壓縮為例，可以在壓縮時添加註釋

當你想要解壓時就會發現

（2）屬性檢視法

有的會將資訊放在屬性裡 就像這樣

舉個例子 就類似於手機拍攝的照片會帶有Exif資訊(可以看到經緯度之類的)

不過大家不用擔心 微信還有qq預設會壓縮處理掉的

高階一點的 現在都是直接對圖片進行十六進位制編輯器進行修改

可以在末尾新增其他型別資料的十六進位制 就可以達到隱藏東西的效果

比如圖片裡面藏壓縮包，藏視訊，藏音樂，藏另一個圖片，音訊裡邊也可以藏

還會涉及到一些加密加密的知識，此篇不再贅述，如果大家想了解，會再出一篇專門來講。

(3) 暴力破解

實在不知道密碼 就只好這樣了 不過找到一個好工具 真的事半功倍

比如Ziperello,Archpr(這個支援的壓縮包格式比較多)

(4) 構造字典

比如知道一部分資訊：比如解壓密碼的長度之類的

可以用工具或者python來構造資訊

這裡推薦使用這個

(5) 明文攻擊

大致原理是當你不知道一個zip的密碼，但是你有zip中的一個已知檔案（檔案大小要大於12Byte）時，因為同一個zip壓縮包裡的所有檔案都是使用同一個加密金鑰來加密的，所以可以用已知檔案來找加密金鑰，利用金鑰來解鎖其他加密檔案

具體例子可以看這裡：https://www.jianshu.com/p/fea87e5fb844

(6) 掩碼攻擊

(7)Zip偽加密

zip檔案是一種壓縮檔案，可進行加密，也可不加密。而偽加密是在未加密的zip檔案基礎上修改了它的壓縮原始檔目錄區裡的全域性方式位標記的位元值，使得壓縮軟體開啟它的時候識別為加密檔案，提示輸入密碼，而在這個時候，不管你用什麼軟體對其進行密碼破解，都無法開啟它！

根據zip官方文件、zip中文詳解

zip檔案組成:

1.壓縮原始檔資料區

2.壓縮原始檔目錄區

3.壓縮原始檔目錄結束標誌

樣本示例(用winhex軟體開啟)

未加密

第一個熒游標記條中:(壓縮原始檔資料區初始位置)

504B0304(檔案頭標記，4bytes)

1400(解壓檔案所需pkware版本,2bytes)

0000(全域性方式位標記,2bytes)未加密標誌

第二個熒游標記條中:(壓縮原始檔目錄區初始位置)

504B0102(目錄中檔案檔案頭標記,4bytes)

1F00(壓縮使用的pkware版本,2bytes)

1400(解壓檔案所需pkware版本,2bytes)

0000(全域性方式位標記,2bytes)壓縮軟體識別未加密標誌

偽加密

壓縮原始檔資料區的全域性方式位標記為0000(未加密)

壓縮原始檔目錄區的全域性方式位標記為0900(軟體識別加密)

如何做到？

就是將未加密檔案的壓縮檔案目錄區的全域性方式位標記改為0900

(真)加密的情況對比看：

壓縮原始檔資料區的全域性方式位標記為0900(已加密)

壓縮原始檔目錄區的全域性方式位標記為0900(軟體識別加密)

因此已加密

使用檢測偽加密的ZipCenOp.jar，解密後如果能成功開啟zip包，則是偽加密，否則說明思路錯誤。

方法一：

使用ZipCenOp.jar(需要java環境)，在cmd中使用

java -jar ZipCenOp.jar r xxx.zip

成功後壓縮包可以直接開啟

方法二：

如果不行，就用winhex修改偽加密標誌位

（8）工具介紹

介紹一個工具

Advanced Archive Password Recovery(ARCHPR) 是一個靈活的，適用於 ZIP 和RAR 檔案的高度優化的口令恢復工具。它可以恢復保護口令或將用所有流行的檔案版本建立的加密ZIP 和 RAR 檔案解除鎖定。

百度直接搜檔名就可以下載到

3. 掌握Office文件的密碼保護破解

介紹一個工具

Advanced Office Password Recovery可對95-2016版本的任何Office文件進行解密。AOPR可破解2.0版本到2016版本密碼保護下任何Office文件，具體包括Word、Excel、Access、Outlook等文件格式。

另，寫完後才發現已經有大佬總結的很全面的，可以看這裡