Атака ZIP-plaintext. Вскрыть ZIP-архив быстро

Приветствую, хакеры! Атака ZIP-plaintext использует известный фрагмент архива того же файла, что есть в архиве, но на который не наложена защита паролем. То есть смотрите, как это выглядит. Мы нашли ZIP-архив, на который установлен пароль. Но при этом видим список файлов в этом архиве. Вот так это выглядит:

Звёздочки у имён файлов означают, что доступ к файлам защищён паролем. Теперь внимание! Есть смысл поискать эти файлы по именам на диске! 

Банально ищем все файлы по именам и найденные файлы проверяем программкой типа hashmyfiles.exe (из пакета Nirsoft) на предмет совпадения контрольных сумм CRC32. Обратите внимания, я нашёл тот файл, который был запакован!

Быть может нам удастся найти все файлы таким образом. Возможно нужно привлечь восстановление удалённой информации (R-Studio в помощь!). Предположим также, что другие файлы мы не нашли, но очень интересно их содержание. Тогда мы… запаковываем найденный файл в ZIP-архив без пароля и используем его в качестве “известного” фрагмента. Оба архива “скармливаем” программе Passware Password Recovery Kit Forensic.

Выбираем первый пункт – Recover File Password. 

Откроется диалоговое окно открытия файла. Там выберем наш зашифрованный архив.

Выберем продвинутые опции [2] “Advanced: Customize Settings“.

Выбираем в разделе “Special Attacks” – “ZIP Plaintext“, выбираем наш архив без пароля с одним из найденных файлов и нажимаем кнопку Recover >>. Осталось дождаться. 

Мой архив вскрылся где-то за три с половиной минуты:

Причём как вскрылся. Мы не получили пароль в открытом виде, мы получили архив со снятым паролем! 

Важное замечание: Чем меньше по размеру файлы и архивы, тем, соответственно, быстрее пройдёт атака. Всяко лучше и быстрее, чем ломать прямым перебором! Тем более, что прямым перебором сломать пароль вида “mas12345ter” из 11 символов двух раскладок не так уж и просто, если не знать подробностей создания пароля. 

Ну и теперь о защите непосредственно. Хочу сказать, что эту атаку было бы провести куда невозможнее, если бы мы поставили галочку “шифровать имена файлов“, тогда бы не увидели имена и контрольные суммы файлов, чтобы подобрать участки plaintext. 

Кроме того, в ZIP-архивах можно применять другой вид шифрования – AES-256, что также делает данную атаку невозможной. Зашифровать таким способом можно при помощи архиватора 7Zip. Тогда тип атаки даже не будет предложен в программе “Passware…”

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.