# 伪加密

# 关于

ZIP伪加密就是通过修改zip压缩包特定的字节,进而在打开文件时压缩包被识别为使用了密码加密,从而达到伪装加密效果,实际上并没有对压缩包进行密码加密。我们需要通过使用工具修改特定位置的字节来破解伪加密。

img

ZIP压缩文件中有三个关键数据段: 压缩源文件数据区,压缩源文件目录区,压缩文件源文件目录结束区

压缩源文件数据区

50 4B 03 04:头文件标记(0x04034b5014 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)头文件标记后2bytes
08 00:压缩方式

压缩源文件目录区

50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,伪加密判断点)目录文件标记后4bytes

压缩文件源文件目录结束区
    
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小

无加密:	压缩源文件数据区全局加密为 00 00 , 压缩源文件目录区全局加密为 00 00
有加密:	压缩源文件数据区全局加密为 09 00 , 压缩源文件目录区全局加密为 09 00
伪加密:	压缩源文件数据区全局加密为 00 00 , 压缩源文件目录区全局加密为 09 00
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# BuuCTF - zip伪加密

打开需要密码,使用十六进制查看工具打开,发现全局加密标志为 09 00

img

修改为 00 00 后解压可打开获取内部文件

img