word文档加密漏洞破解方法详解

引子：德国著名电脑杂志《PC Welt》(PC世界)近日批露，微软最新版本Office软件Word 2003中存在安全隐患，可以轻易破解“保护文档”的密码！duba.net在1月8日的“微软Word文档加密功能受质疑　可轻易被修改”文章中也对此事做过报道。近日，中关村在线对此漏洞做了详细说明，让我们来看看这个漏洞究竟是如何产生的。

　　熟悉MS Office的用户都知道，“保护文档”是Word的一项功能，让用户在菜单中选择“工具→保护文档”选项，“保护内容”选择“窗体”并设置一个密码，之后除非用户知道密码，并在菜单中选择“工具→解除文档保护”后正确输入密码，否则对此文档只能观看而不能修改。这项功能原本一直为大量有特殊需要的用户提供了方便，安全性也较高，直到Word 2003出现。某安全组织Guardeonic Solutions的成员 Thorsten Delbrouck Konetzko公布，他发现了一个简单的方法破解“保护文档”的密码，使用的主要工具竟然就是微软最新的Word 2003。

　　破解方法如下：

　　1、首先用Word 2003打开已设置有密码的“保护文档”(原始DOC文件)，此文档可由Word 2000/XP(2002)/2003创建(保护文档创建方法见上文)；

　　2、在菜单中选择“文件→另存为Web页”，保存为HTML文件后关闭Word；

　　3、用“记事本”或其他字处理软件打开上步中保存的HTML文件；

        4、搜索"<w:UnprotectPassword>",，“<w:UnprotectPassword>”和“</w:UnprotectPassword>”之间的为你设置的密码加密后的十六进制格式

        5、记录密码字符，例如本例中“3E36C48A”，关闭“记事本”；

　　6、使用十六进制文件编辑器(例如WinHex或者UltraEdit)以十六进制(Hex)格式打开原始DOC文件；

　　7、反序查找记录的十六进制密码字符，例如本例中查找“8A C4 36 3E”；

　　8、将查找到的4个双字节均用“0”覆盖，保存文件，关闭十六进制文件编辑器；(相信即使破解经验极少的人对步骤6~8操作起来也是易如反掌)

　　9、使用Word打开原始DOC文件，在菜单中选择“工具→解除文档保护”，密码为空。

　　至此，设置有密码的“保护文档”完全被破解，与没有经过保护的文档毫无区别。《PC Welt》还以次假设了一种更恶毒的情况：入侵者破解了文档并作了修改，之后再次利用十六进制文件编辑器将原始密码(如上例中“8A C4 36 3E”)写回，这样表面看起来“保护文档”好像是原封未动，实际上内容早已乾坤扭转了。

　　有意思的是，老版本的Word虽然也能将“保护文档”另存为HTML文件，但是其中却没有“UnprotectPassword”标签，不知为何微软要在Word 2003中添加入这个“强大的功能”。

　　Delbrouck在2003年11月就此漏洞通知了微软，但是直到上星期微软宣称不会发放补丁解决这个问题，于是Delbrouck于上星期在SecurityFocus网站公布了他的发现。微软随后更改了一篇名为“Overview of Office Features That Are Intended to Enable Collaboration and That Are Not Intended to Increase Security”的技术支持文档，并称此问题并非漏洞，而是新版本的一个“Feature”(特性)，建议用户仅在可信赖的范围内使用“保护文档”功能，并且声称此项技术仅仅用来防止文档被同事无意中更改，不具备更高安全性。

　　看来微软是不打算彻底解决此问题，建议用户如有需要重点保护的敏感文件，使用“保护文档”则要慎之又慎。