使用bkcrack分析已知明文但压缩方法未知的ZIP文件

在信息安全领域，分析加密ZIP文件一直是一个具有挑战性的课题。本文将通过一个实际案例，详细介绍如何利用bkcrack工具，在已知明文文件但压缩方法未知的情况下，成功分析ZIP加密。

背景介绍

某艺术程序HiPaint将其项目文件保存为加密的ZIP格式(扩展名为HSD)，使用"ZipCrypto Deflate:Fast"加密方式。虽然文件被加密，但用户发现程序的data文件夹中存储着未加密、未压缩的原始文件，这为分析提供了可能性。

技术挑战

主要面临两个技术难点：

1. ZIP文件使用了传统ZipCrypto加密
2. 虽然知道原始文件内容，但不知道程序使用的具体压缩参数(压缩级别、策略等)

分析步骤详解

第一步：准备测试文件

首先向项目中插入一个5MB的随机字节文件，这样在导出时会包含在加密ZIP中。这个随机文件将作为已知明文分析的基础。

第二步：分析压缩特性

由于不知道程序使用的具体压缩参数，需要尝试多种压缩方式：

1. 使用不同压缩级别(1-9)压缩测试文件
2. 尝试不同的压缩工具(7zip等)
3. 使用Python脚本比较各种压缩结果的共同字节

第三步：识别固定字节模式

通过比较不同压缩级别产生的文件，发现了一些固定不变的字节模式。这些固定字节不受压缩参数影响，可以作为已知明文分析的输入。

第四步：构建分析数据

从固定字节中提取有效片段：

• 偏移19-25的7个连续字节
• 其他关键位置的单个字节作为额外参考点

将这些数据保存为单独文件，作为已知明文。

第五步：执行bkcrack分析

使用以下命令发起分析：

bkcrack -C 加密文件.hsd -c 压缩文件 -p 已知明文 -x 偏移 值

其中：

• -C指定加密ZIP文件
• -c指定ZIP中的压缩文件
• -p指定已知明文文件
• -x提供额外的已知字节位置信息

第六步：获取加密密钥

成功执行后，bkcrack将输出三个关键密钥值，这些密钥可用于解密整个ZIP文件。

技术要点

1. 已知明文分析：即使不知道完整明文，只要有部分固定字节模式，就可能成功分析。

2. 压缩特性分析：不同压缩级别会产生不同输出，但某些头部或元数据字节往往保持不变。

3. 最小数据要求：bkcrack需要至少12字节的已知数据，其中部分需要是连续的(约5字节)。

4. 效率优化：使用大文件可以提高成功率，但小文件配合多个已知点也能奏效。

实际应用建议

1. 对于类似场景，建议准备多个不同大小的测试文件。

2. 尝试多种压缩工具和参数，找出最稳定的字节模式。

3. 如果第一次不成功，可以尝试调整已知数据的位置和长度。

4. 记录成功的参数组合，建立自己的分析方法库。

总结

通过这个案例我们可以看到，即使在不完全了解目标系统压缩参数的情况下，通过系统性的分析和多次尝试，仍然有可能成功分析加密ZIP文件。关键在于找到不受压缩参数影响的固定字节模式，并合理利用bkcrack工具提供的各种分析选项。这种方法不仅适用于HiPaint项目文件，也可以推广到其他使用类似加密方式的ZIP文件分析场景。