前言:做过几个伪加密的题,总结一下。先说说理论,再说说题。
背景
首先,我们来看zip文件头协议。这里以中文资料为证,但是仍然建议大家去阅读官方文档,虽然英文读起来有些困难。
一个 ZIP 文件由三个部分组成:
压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志
查看详情
十六进制标志
- 压缩源文件数据区:
50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500
- 压缩源文件目录区:
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001
- 压缩源文件目录结束标志:
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度
练个题目
- [JarvisOj](Basic)Help!! word.zip.a5465b18cb5d7d617c861dee463fe58b
改后缀为zip,随便找个16进制查看器看一下
很明显先查一下是不是伪加密,看到文件头是:504B030414000000 所以不是在这里,搜索一下目录中文件文件头标记 50 4B 01 02 看到:
把09改成00,另存。
解压得到word.doxc
里面只能看到一个png,用Stegsolve查了没什么东西。
所以考虑一下是不是还有隐藏的东西,查一下doc的16进制
可以看到有两个image1.png和上图显示的image2.png
所以binwalk分离一下:python .\binwalk.py -e .\word.docx
得到了第二张图:
总结:所以zip伪加密的套路就是这样,通过压缩源文件目录区50 4B 01 02 1F 00 14 00 0奇/偶 00 来表示是否加密