判断zip文件伪加密
关于判断zip文件是否进行了伪加密的方法,以及如何解除伪加密。
step 1 winhex查看zip压缩包
将可能进行了伪加密的压缩包用winhex打开,首先了解一下基本的zip包的构造:
(1)压缩源文件数据区标识:即当头文件是504B0304时,则表示文件类型为zip压缩包。
(2)第一个全局方式位标记:即下图中在数据区标识后两位的0900,这个是判断文件有无加密。
(3)压缩源文件目录区标识:即下图中出现的504B0102。
(4)第二个全局方式位标记:即下图中在目录区标识后四位的0900,这个是判断文件是否进行了伪加密。压缩源文件目录结束标识:即为504B0506时,标识目录区结束。
step 2 判断是否为伪加密
- 无加密
o 压缩源文件数据区的全局加密应当为00 00
o 且压缩源文件目录区的全局方式位标记应当为00 00
- 伪加密
o 压缩源文件数据区的全局加密应当为00 00
o 且压缩源文件目录区的全局方式位标记应当为09 00
- 真加密
o 压缩源文件数据区的全局加密应当为09 00
o 压缩源文件目录区的全局方式位标记应当为09 00
step 3 修改数据
如果判断出文件为伪加密,按照step 2的描述,只需要将压缩源文件目录区的全局方式位标记由09 00改成00 00,并保存修改即可。这样伪加密的文件就会自动解密。
也可以使用工具,将进行了伪加密的文件使用工具zipcenop可直接解除加密。
我一般不怎么看十六进制数据,因为之前遇到过一个题目,它的两个标识位都为09 09,按理来说应该是真加密,但好巧不巧,它就是伪加密。所以题目没给密码提示时,我会直接将加密的压缩先用zipcenop检测一下,如果是则自动解除加密了,如果不是就的确是真加密了。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 echozt!
相关推荐
2022-09-18
buuctf之misc部分题解
还是misc类型深得我心 00x0前言 我个人感觉杂项就是压缩包与图片的花样式折腾。最近在做buuctf的misc,浅浅地记录下我的题解吧。 然后对下面的题目归个类: 一、图片类型 gif逐帧分析:(题目1) 文件隐写: 用foremost工具,分离出图片里面的压缩包文件(题目2,16,17,18) 图片中包含其他文件:用stegsolve的data extract处理(题目10,15) 图片为其他类型后缀:用stegsolve的data...
2022-09-20
关于ctf的misc相关工具汇总
一些些好用的misc工具分享 0x00 前言 做了一些些关于misc的题目,个人总结了一些挺好用的工具。这些工具都可以去github搜索并下载。 00x1 winhex 这个工具简直就是必备。关于图片的题目我一般都会用这个工具打开查看它的文本里面是否隐藏了flag。不用这个,也可以用其他的十六进制查看工具。总之,就是必须备用。 ox02 foremost 这个工具是文件分离经常需要用到的。虽然我经常看到一些大佬都是在linux里面用一些自带的工具进行文件分离,但我着实懒得打开虚拟机。而且这个工具也蛮好用的。一般是可以分离出图片中隐写的压缩包。 它可以添加到电脑的“发送到”这个快捷方式里面,使用起来超级便捷。 具体添加方法如下: step 1 新建bat文件 先新建一个txt文件,输入以下内容: 123456@echo offcd D:\tools\ctf\foremost -->这行换成你的安装目录,即foremost.exe所在目录set path=%~dp1start foremost -i %1 -o...