修改文件头的加密标志位修复伪加密的zip文件

修改文件头的加密标志位修复伪加密的zip文件

1. 伪加密的原理

在 ZIP 格式中的 核心目录区 中,我们强调了一个叫做通用位标记 (General purpose bit flag) 的 2 字节,不同比特位有着不同的含义。

2. zip文件组成

首先,我们来了解一下zip的文件头格式:

一个zip文件有如下三个部分组成:

  1. 压缩源文件数据区  
  2. 压缩源文件目录区  
  3. 压缩源文件目录结束标志

这是三个头标记,主要看第二个

 

压缩源文件数据区

zip结构1.png
压缩源文件数据区:50 4B 03 04:这是头文件标记
50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)
具体格式为

50 4B 03 04:这是头文件标记(0x04034b50) 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密好像是偶数为未加密,奇数为加密) 
08 00:压缩方式 
5A 7E:最后修改文件时间 
F7 46:最后修改文件日期 
16 B5 80 14:CRC-32校验(1480B516) 
19 00 00 00:压缩后尺寸(25) 
17 00 00 00:未压缩尺寸(23) 
07 00:文件名长度 
00 00:扩展记录长度 
...

 

压缩源文件目录区:

压缩源文件目录区:

zip结构2.png
50 4B 01 02:目录中文件文件头标记

3F 00:压缩使用的 pkware 版本 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
具体格式为:

50 4B 01 02:目录中文件文件头标记(0x02014b50) 
3F 00:压缩使用的 pkware 版本 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了) 
08 00:压缩方式 
5A 7E:最后修改文件时间 
F7 46:最后修改文件日期 
16 B5 80 14:CRC-32校验(1480B516) 
19 00 00 00:压缩后尺寸(25) 
17 00 00 00:未压缩尺寸(23) 
07 00:文件名长度 
24 00:扩展字段长度 
00 00:文件注释长度 
00 00:磁盘开始号 
00 00:内部文件属性 
20 00 00 00:外部文件属性 
00 00 00 00:局部头部偏移量 
...

好像压缩源文件目录结束标志是 :50 4B 05 06

压缩源文件目录结束标志:

50 4B 05 06:目录结束标记 
00 00:当前磁盘编号 
00 00:目录区开始磁盘编号 
01 00:本磁盘上纪录总数 
01 00:目录区中纪录总数 
59 00 00 00:目录区尺寸大小 
3E 00 00 00:目录区对第一张磁盘的偏移量 
00 00 1A:ZIP 文件注释长度

3. 修改伪加密的方法:

  • 16 进制下修改通用位标记
  • binwalk -e 无视伪加密
    在 Mac OS 及部分 Linux(如 Kali ) 系统中,可以直接打开伪加密的 ZIP 压缩包
  • 检测伪加密的小工具 ZipCenOp.jar
  • 有时候用 WinRar 的修复功能(此方法有时有奇效,不仅针对伪加密)

4. 总结

要解决伪加密,我们一般可以更改压缩源文件目录区中的全局方式位标记(50 4B 01 02后面的),将09 00改为00 00即可,一个zip文件里面可能有多个50 4B 01 02我们需要将他们一一改为00 00

5. 参考资料

zip伪加密
修改文件头的加密标志位修复伪加密的zip文件
ctfwiki