【加密压缩包 & 文档】取证过程中的处理方法
1、常见压缩格式(算法)、压缩包保护的各种加密方式
如果从互联网上下载了许多程序和文件,可能会遇到很多压缩文件。这种压缩机制是一种很方便的发明,尤其是对网络用户文
|
【加密压缩包】 1、常见压缩格式(算法)、压缩包保护的各种加密方式 如果从互联网上下载了许多程序和文件,可能会遇到很多压缩文件。这种压缩机制是一种很方便的发明,尤其是对网络用户文档加密方式,因为它可以减小文件中的比特和字节总数,使文件能够通过较慢的互联网连接实现更快传输,此外还可以减少文件的磁盘占用空间。在下载了文件后,计算机可使用WinRar或Stuffit这样的程序来展开文件,将其复原到原始大小。如果一切正常,展开的文件与压缩前的原始文件将完全相同。压缩包是计算机压缩文件、文件夹的载体。 无论是什么压缩软件,其目的就只有一个:减少冗余数据。例如某行字是“000011111”,就可以压缩为“0(4)1(5)”,在保证数据没有受损的同时,减少其占用的体积。 有很多不同的压缩文件格式,例如ZIP、RAR、7Z等,实际上这只是不同的压缩规范,就算是同样的格式,例如都是ZIP,其中的压缩算法可能也是不一样的,例如ZIP可以使用Shrinking、Reducing、Deflate等算法。 压缩文件常见格式有:rar 、zip、7z、CAB、ARJ、LZH、TAR、GZ、ACE、UUE、BZ2、JAR、ISO,以及MPQ。 平时常见的jpg,rmvb等格式的音视频文件也属于压缩文件。 2、掌握常见压缩包破解的方法 (1)查看注释 以360压缩为例,可以在压缩时添加注释 当你想要解压时就会发现
(2)属性查看法 有的会将信息放在属性里 就像这样
举个例子 就类似于手机拍摄的照片会带有Exif信息(可以看到经纬度之类的)
不过大家不用担心 微信还有qq默认会压缩处理掉的 高级一点的 现在都是直接对图片进行十六进制编辑器进行修改 可以在末尾添加其他类型数据的十六进制 就可以达到隐藏东西的效果 比如图片里面藏压缩包,藏视频,藏音乐,藏另一个图片,音频里边也可以藏 还会涉及到一些加密加密的知识,此篇不再赘述,如果大家想了解,会再出一篇专门来讲。 3、暴力破解 实在不知道密码 就只好这样了 不过找到一个好工具 真的事半功倍 比如Ziperello,Archpr(这个支持的压缩包格式比较多)
(4) 构造字典 比如知道一部分信息:比如解压密码的长度之类的 可以用工具或者python来构造信息 这里推荐使用这个
(5) 明文攻击 大致原理是当你不知道一个zip的密码,但是你有zip中的一个已知文件(文件大小要大于12Byte)时,因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的,所以可以用已知文件来找加密密钥,利用密钥来解锁其他加密文件 具体例子可以看这里: (6) 掩码攻击 (7)Zip伪加密 zip文件是一种压缩文件,可进行加密,也可不加密。而伪加密是在未加密的zip文件基础上修改了它的压缩源文件目录区里的全局方式位标记的比特值,使得压缩软件打开它的时候识别为加密文件,提示输入密码,而在这个时候,不管你用什么软件对其进行密码破解,都无法打开它! 根据zip官方文档、zip中文详解 zip文件组成: 1.压缩源文件数据区 2.压缩源文件目录区 3.压缩源文件目录结束标志 样本示例(用winhex软件打开) 未加密
第一个荧光标记条中:(压缩源文件数据区初始位置) 504B0304(文件头标记,4bytes) 1400(解压文件所需pkware版本,2bytes) 0000(全局方式位标记,2bytes)未加密标志 第二个荧光标记条中:(压缩源文件目录区初始位置) 504B0102(目录中文件文件头标记,4bytes) 1F00(压缩使用的pkware版本,2bytes) 1400(解压文件所需pkware版本,2bytes) 0000(全局方式位标记,2bytes)压缩软件识别未加密标志 伪加密
压缩源文件数据区的全局方式位标记为0000(未加密) 压缩源文件目录区的全局方式位标记为0900(软件识别加密) 如何做到? 就是将未加密文件的压缩文件目录区的全局方式位标记改为0900 (真)加密的情况对比看:
压缩源文件数据区的全局方式位标记为0900(已加密) 压缩源文件目录区的全局方式位标记为0900(软件识别加密) 因此已加密 使用检测伪加密的ZipCenOp.jar,解密后如果能成功打开zip包,则是伪加密,否则说明思路错误。 方法一: 使用ZipCenOp.jar(需要java环境),在cmd中使用 java -jar ZipCenOp.jar r xxx.zip 成功后压缩包可以直接打开 方法二: 如果不行,就用winhex修改伪加密标志位 (8)工具介绍 介绍一个工具 Advanced Archive Password Recovery(ARCHPR) 是一个灵活的,适用于 ZIP 和RAR 档案的高度优化的口令恢复工具。它可以恢复保护口令或将用所有流行的档案版本创建的加密ZIP 和 RAR 档案解除锁定。
百度直接搜文件名就可以下载到 【掌握Office文档的密码保护破解】 介绍一个工具 Advanced Office Password Recovery 可对95-2016版本的任何Office文档进行解密。AOPR可破解2.0版本到2016版本密码保护下任何Office文档,具体包括Word、Excel、Access、Outlook等文档格式。
另,写完后才发现已经有大佬总结的很全面的,可以看这里
(编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
