CTF学习记录-Misc-压缩包加密&取证技术

压缩包加密

1. 暴力破解

   eg. RAR Cracker（Windows）

2. ZIP伪加密

   原理

   ZIP文件中，文件头和每个文件的核心目录区都有通用标记位。核心目录区的通用标记位距离核心目录区头504B0102的偏移为8字节，其本身占2字节，在低位表示这个文件是否被加密，将其改为0x01后，再次打开会提示输入密码（伪密码），只需将标记复位，即可正常打开。

   binwalk -e也可以无视伪加密，MacOS也可直接打开压缩包。

   类似的，文件头处的通用标记位距离文件头[^504B0304] 的偏移为6字节，其本身占2个字节，最低位表示这个文件是否被加密，但该位被改为0x01的伪加密压缩包不能通过Binwalk或MacOS直接提取，需要手动修改标志位。

3. 已知明文攻击

取证技术

流量分析

WireShark&Tshark

1. 常见操作

   Wireshark的[^统计]菜单可以查看流量包的大致情况（包含哪些协议，IP地址参与了会话等等），对于切割后小的TCP数据流，可以使用[^追踪TCP流]的方法，即可获取会话中双方传输的所有数据，方便进一步分析。

   对于HTTP等常见协议，WireShark提供了导出对象功能，可以方便的提取传输过程中发送的文件等信息

特殊种类的流量包

对于一个USB流量包，Tshark工具可以方便地获取纯数据字段：

tshark -r filename.pcapng -T fields -e usb.capdata