ZIP Cracker支持的加密格式全解析

在安全审计或数据恢复的现场，常常会碰到形形色色的加密容器。ZIP Cracker 之所以被频繁提及，正是因为它对这些容器的兼容度异常广泛，几乎可以说是“一站式”解密工具。下面从技术层面拆解它所支持的每一种加密格式，帮助使用者快速判断工具的适配性。

加密格式概览

ZIP Cracker 的核心是对常见压缩包、办公文档以及部分磁盘映像的密码哈希提取与破解算法的封装。它并非盲目堆砌，而是针对每种格式的加密方案实现了专有的解析器，确保在提取哈希阶段不产生信息泄漏。

ZIP 系列加密细节

• 传统 ZIP（PKZIP）- 基于 ZipCrypto，密钥长度仅 96 位，已被公开的密码学攻击（如已知明文攻击）能够在数秒内恢复。
• ZIP AES‑128/256 - 采用 WinZIP AES 扩展，使用 PBKDF2‑SHA1 进行密钥派生，迭代次数默认 1000 次，破解时需要结合 Hashcat 的 GPU 加速。
• ZIPX（WinZip 兼容）- 支持多种流加密算法（如 Blowfish），在提取哈希时会先解析额外的加密头部。

RAR 与 7z 加密机制

RAR 文件的加密采用了 AES‑128‑CFB 模式，密钥派生使用 PBKDF2‑SHA256，迭代次数可达 16384 次，这也是它在破解时显著慢于 ZIP AES 的原因。7z（7‑Zip）则提供了两套方案：一种是基于 SHA‑256 的 PBKDF2，另一种是基于 Argon2 的内存硬化派生函数。ZIP Cracker 内置了对两者的自动识别，并在检测到 Argon2 时自动切换到 John the Ripper 的对应插件。

Office 与 PDF 文档加密

Word、Excel、PowerPoint 从 Office 2007 起采用了基于 SHA‑1/256 的密码派生，配合 RC4（旧版）或 AES‑256（新版）加密。PDF 则更为复杂——从 PDF 1.7 开始支持两种加密级别：Standard（基于 RC4/AES‑128）和 Adobe‑Extended（AES‑256 + PBKDF2‑SHA256）。ZIP Cracker 在处理 Office 文档时，会先利用 libzip 或 libmspack 提取加密信息；针对 PDF，使用 Poppler 库解析加密字典，以确保哈希提取的完整性。

快速对照表

如果现场需要对未知压缩包进行快速定位，先让 ZIP Cracker 扫描文件头部，依据上述表格的特征匹配即可判断后续应调用的破解引擎。实际操作中，常见的“密码忘记”场景往往是因为使用了高迭代次数的 PBKDF2，单纯靠 CPU 已难以在合理时间内完成，GPU 加速的 Hashcat 甚至能把原本需要数十小时的任务压缩到几分钟。正是这种技术差距，让 ZIP Cracker 在专业渗透测试和内部审计中成为了“隐形刀具”。