压缩包加密
-
暴力破解
eg. RAR Cracker(Windows)
-
ZIP伪加密
原理
ZIP文件中,文件头和每个文件的核心目录区都有通用标记位。核心目录区的通用标记位距离核心目录区头504B0102的偏移为8字节,其本身占2字节,在低位表示这个文件是否被加密,将其改为0x01后,再次打开会提示输入密码(伪密码),只需将标记复位,即可正常打开。
binwalk -e也可以无视伪加密,MacOS也可直接打开压缩包。
类似的,文件头处的通用标记位距离文件头[^504B0304] 的偏移为6字节,其本身占2个字节,最低位表示这个文件是否被加密,但该位被改为0x01的伪加密压缩包不能通过Binwalk或MacOS直接提取,需要手动修改标志位。
-
已知明文攻击
取证技术
流量分析
WireShark&Tshark
-
常见操作
Wireshark的[^统计]菜单可以查看流量包的大致情况(包含哪些协议,IP地址参与了会话等等),对于切割后小的TCP数据流,可以使用[^追踪TCP流]的方法,即可获取会话中双方传输的所有数据,方便进一步分析。
对于HTTP等常见协议,WireShark提供了导出对象功能,可以方便的提取传输过程中发送的文件等信息
特殊种类的流量包
对于一个USB流量包,Tshark工具可以方便地获取纯数据字段:
tshark -r filename.pcapng -T fields -e usb.capdata