杂项-压缩文件分析

一、伪加密
如果压缩文件是加密的，或文件头正常但解压缩错误，首先尝试文件是否为伪加密。zip文件是否加密是通过标识符来显示的，在每个文件的文件目录字段有一位专门标识了文件是否加密，将其设置为00表示该文件未加密，如果成功解压则表示文件为伪加密，如果解压出错说明文件为真加密。
使用场景:伪加密文件操作方法:使用winhex打开压缩文件，找到文件头第九第十个字符，将其修改为0000。
1.使用winhex打开文件搜索16进制504B0102，可以看到每个加密文件的文件头字段。
2.从50开始计算，第九第十个字符为加密字段，将其设置为0000即可变成无加密状态。
3. RAR文件由于有头部校验，使用伪加密时打开文件会出现报错，使用winhex修改标志位后如报错消失且正常解压缩，说明是伪加密。使用winhex打开RAR文件，找到第24个字节，该字节尾数为4表示加密，0表.示无加密，将尾数改为0即可破解伪加密。

二、暴力破解
通常我们可以使用ARCHPR.exe工具来破解zip文件
使用场景: windows下加密过的zip文件
1、攻击类型选择暴力破解，在范围位置根据提示选择暴力破解范围选项设置暴力破解包含的类型、开始于和结束于选项具体范围，如果没有定义则全范围暴力破解。点击打开选择要破解的文件，点击开始进行破解。建议使用1~9位的数字密码，以及系统自带的英文字典作为密码字典。
2、攻击类型选择掩码可以进行复杂的暴力破解，‘比如知道密码前3位是abc，后3位为数字，则在攻击类型选择掩码，在掩码处输入acb??，暴力范围选项选择所有数字，打开要破解的点击，点击破解。此时???的部分会被我们选择的暴力破解范围中的字符代替。

三、明文攻击