zip伪加密学习

zip伪加密学习,压缩包16进制数据含义分析

一个zip文件由三部分组成:

1.压缩源文件数据区

2.压缩源文件目录区

3.压缩源文件目录结束标志

在ctf.show当中_萌新杂项6中的压缩包为例,用010 editor打开。

如下图中,

前面的灰色背景的十六进制数字为压缩源文件数据区

中间紫色背景的十六进制数字为压缩源文件目录区

后面的黄色背景的十六进制数字为压缩源文件目录结束标志

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172336.png)


本次将着重介绍压缩源文件目录区

50 4B 01 02:目录中文件文件头标记

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172336.png)


1F 00:压缩使用的pkware版本

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172519.png)


14 00:解压文件所需的pkware版本

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172530.png)


此处是伪加密应该将09改为00

00 00:全局方式位标记(有无加密,伪加密的关键)目录文件头标记后4bytes

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172547.png)


08 00:压缩方式

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172602.png)


DC 01:最后修改文件的时间

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172613.png)


53 50:最后修改文件日期

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172628.png)


D0 EB AE BF:CRC-32校验

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172650.png)


15 00 00 00:压缩后尺寸

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172702.png)


13 00 00 00:未压缩尺寸

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172714.png)


08 00:文件名长度

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172725.png)


24 00:扩展字段长度

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172734.png)


00 00 :文件注释长度

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172750.png)


00 00 :磁盘开始号

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172800.png)


00 00:内部文件属性

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172816.png)


20 00 00 00:外部文件属性

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172827.png)


00 00 00 00:局部头部偏移量

![](C:\Users\29901\Pictures\Screenshots\屏幕截图 2025-01-26 172842.png)