Материал просмотрен 116 раз(а)

Здрассти! Сегодня я хочу показать, как можно намного более быстро вскрыть ZIP-архив с паролем, а также ответить на некоторые вопросы, которые, мне кажется, вас также волновали.

  • Вопрос № 1. Можно ли ускорить перебор пароля к ZIP-архиву?
  • Вопрос № 2. Для чего нужна галочка “Шифровать имена файлов” в мастере добавления пароля к архиву?
  • Вопрос № 3. Как защититься от атаки ZIP-plaintext и усложнить перебор паролей на своих архивах?

Но обо всём НЕ по порядку, а одновременно. Атака ZIP-plaintext использует известный фрагмент архива того же файла, что есть в архиве, но на который не наложена защита паролем. То есть смотрите, как это выглядит. Мы нашли ZIP-архив, на который установлен пароль. Но при этом видим список файлов в этом архиве. Вот так это выглядит:

Звёздочки у имён файлов означают, что доступ к файлам защищён паролем. Теперь внимание! Есть смысл поискать эти файлы по именам на диске!

Банально ищем все файлы по именам и найденные файлы проверяем программкой типа hashmyfiles.exe (из пакета Nirsoft) на предмет совпадения контрольных сумм CRC32. Обратите внимания, я нашёл тот файл, который был запакован!

Быть может нам удастся найти все файлы таким образом. Возможно нужно привлечь восстановление удалённой информации (R-Studio в помощь!). Предположим также, что другие файлы мы не нашли, но очень интересно их содержание. Тогда мы… запаковываем найденный файл в ZIP-архив без пароля и используем его в качестве “известного” фрагмента. Оба архива “скармливаем” программе Passware Password Recovery Kit Forensic.

Выбираем первый пункт – Recover File Password.

Откроется диалоговое окно открытия файла. Там выберем наш зашифрованный архив.

Выберем продвинутые опции [2] “Advanced: Customize Settings“.

Выбираем в разделе “Special Attacks” – “ZIP Plaintext“, выбираем наш архив без пароля с одним из найденных файлов и нажимаем кнопку Recover >>. Осталось дождаться.

Мой архив вскрылся где-то за три с половиной минуты:

Причём как вскрылся. Мы не получили пароль в открытом виде, мы получили архив со снятым паролем!

Важное замечание: Чем меньше по размеру файлы и архивы, тем, соответственно, быстрее пройдёт атака. Всяко лучше и быстрее, чем ломать прямым перебором! Тем более, что прямым перебором сломать пароль вида “mas12345ter” из 11 символов двух раскладок не так уж и просто, если не знать подробностей создания пароля.

Ну и теперь о защите непосредственно. Хочу сказать, что эту атаку было бы провести куда невозможнее, если бы мы поставили галочку “шифровать имена файлов“, тогда бы не увидели имена и контрольные суммы файлов, чтобы подобрать участки plaintext.

Кроме того, в ZIP-архивах можно применять другой вид шифрования – AES-256, что также делает данную атаку невозможной. Зашифровать таким способом можно при помощи архиватора 7Zip. Тогда тип атаки даже не будет предложен в программе “Passware…”

Ну чтож, удачи вам! Be secure!

 

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Также, подписывайтесь на наш канал в YouTube