Recuperação de senhas de arquivos ZIP
Quebrando criptografia de compressão em arquivos compactados
O que você vai descobrir
🎯 Por que isso importa
A quebra de senhas ZIP representa um dos desafios mais comuns em forense digital e testes de penetração. Organizações rotineiramente usam arquivos ZIP protegidos por senha para distribuir dados sensíveis, acreditando que a criptografia de compressão fornece segurança adequada. No entanto, atacantes frequentemente encontram arquivos criptografados durante exfiltração de dados, e saber como quebrar senhas zip se torna essencial tanto para avaliações de segurança ofensivas quanto para resposta defensiva a incidentes. Entender como quebrar uma senha em um arquivo zip permite que profissionais de segurança avaliem a verdadeira força da proteção de arquivos e demonstrem a viabilidade de ataques do mundo real.
🔍 O que você vai aprender
Você vai dominar ferramentas profissionais de quebra de senhas zip incluindo zip2john, fcrackzip e hashcat, entender os diferentes métodos de criptografia ZIP e suas vulnerabilidades, e aprender a quebrar senhas de arquivos .zip usando ataques de dicionário, força bruta e híbridos. Essas técnicas são essenciais para cenários de teste de penetração onde arquivos criptografados contêm inteligência crítica, investigações forenses requerendo acesso a evidências protegidas, e avaliações de segurança de práticas organizacionais de proteção de arquivos.
🚀 Sua primeira conquista
Nos próximos 15 minutos, você vai aprender como quebrar proteção por senha zip sem a senha original, extrair hashes criptográficos de arquivos criptografados, e recuperar senhas usando ferramentas de segurança profissionais.
🔧 Experimente isso agora
Vamos criar um arquivo ZIP protegido por senha e depois quebrá-lo para entender o workflow completo:
# Instalar John the Ripper (inclui zip2john)
# Ubuntu/Debian
sudo apt update && sudo apt install john
# macOS - Instalar do código fonte ou usar versão jumbo
# Opção 1: Baixar binário pré-compilado de https://www.openwall.com/john/
# Opção 2: Instalar versão jumbo com Homebrew
brew install john-jumbo
# Verificar se zip2john está disponível
which zip2john # Deve mostrar o caminho
# Criar um arquivo de teste e um arquivo ZIP protegido por senha
echo "HackerDNA Secret Data" > secret.txt
# Criar ZIP protegido por senha usando uma senha do rockyou.txt
# Usaremos "password" que está na wordlist rockyou
zip -e protected.zip secret.txt
# Quando solicitado, digite a senha: password
# Extrair hash do ZIP protegido por senha
zip2john protected.zip > zip_hash.txt
# Ver o formato do hash extraído
cat zip_hash.txt
# Quebrar a senha ZIP usando John the Ripper
john --wordlist=/usr/share/wordlists/rockyou.txt zip_hash.txt
# Mostrar senha quebrada
john --show zip_hash.txtVocê verá: Como hashes de senhas ZIP são extraídos e quebrados, demonstrando o processo completo para quebrar senhas zip sem precisar da senha original. A senha "password" será quebrada quase instantaneamente da wordlist rockyou.
Habilidades que você vai dominar
✅ Compreensão fundamental
- Métodos de criptografia ZIP e fraquezas de segurança
- Técnicas de extração de hash para diferentes formatos ZIP
- Ataques de texto plano conhecido contra criptografia ZIP
- Análise de formato de arquivo e identificação de vulnerabilidades
🔍 Habilidades avançadas
- Otimização avançada de ferramentas de quebra de senhas zip
- Workflows de processamento em lote multi-arquivo
- Estratégias de ataque personalizadas para arquivos corporativos
- Análise forense de coleções de arquivos criptografados
Entendendo a criptografia ZIP
A criptografia de arquivos ZIP evoluiu através de várias gerações, cada uma com características de segurança distintas. A criptografia PKZIP original (ZipCrypto) usa uma cifra de fluxo proprietária que tem fraquezas criptográficas conhecidas, tornando-a vulnerável a ataques de força bruta e ataques de texto plano conhecido. Implementações ZIP modernas suportam criptografia AES (AES-128, AES-192, AES-256), que fornece proteção significativamente mais forte quando combinada com senhas robustas. Entender esses métodos de criptografia é essencial para escolher a abordagem correta para quebrar proteção por senha zip.
🔐 Evolução da criptografia ZIP
PKZIP Legacy (ZipCrypto): Cifra de fluxo fraca, vulnerável a ataques
WinZip AES-128/192: Segurança melhorada, derivação de chave PBKDF2
WinZip AES-256: Criptografia forte quando implementada corretamente
A fraqueza
A criptografia ZipCrypto legacy contém falhas fundamentais de design que permitem ataques de texto plano conhecido e quebra rápida por força bruta.
O ataque
Extrair hashes criptográficos de arquivos ZIP e aplicar testes sistemáticos de senha usando ferramentas especializadas de quebra de senhas zip.
O resultado
Acesso ao conteúdo de arquivos protegidos, revelando arquivos sensíveis, documentos e dados destinados a permanecer confidenciais.
Avaliadores de segurança profissionais entendem que a proteção por senha ZIP cria uma falsa sensação de segurança para muitas organizações. A especificação do formato de arquivo ZIP detalha os métodos de criptografia disponíveis, mas a maioria dos usuários permanece inconsciente das diferenças de segurança significativas entre criptografia ZipCrypto e AES. Pesquisa demonstrou que ZipCrypto pode ser quebrado usando ataques de texto plano conhecido quando atacantes possuem mesmo uma pequena porção do conteúdo de arquivo não criptografado, tornando-o inadequado para proteger dados sensíveis.
Os detalhes técnicos de como quebrar proteção por senha zip variam baseado no método de criptografia empregado. ZipCrypto usa um estado interno de 96-bit com três chaves de 32-bit, atualizadas através de um polinômio de verificação de redundância cíclica (CRC-32). Este design permite implementação eficiente mas cria fraquezas matemáticas que permitem otimização de ataque. Arquivos ZIP criptografados com AES usam PBKDF2 com HMAC-SHA1 para derivação de chave, aplicando 1.000 iterações por padrão—um número relativamente baixo pelos padrões modernos, tornando ataques baseados em senha viáveis contra senhas fracas.
Ferramentas e técnicas
🔨 zip2john: extração de hash profissional
A ferramenta zip2john, parte da suíte John the Ripper, extrai hashes de senhas de arquivos ZIP criptografados em um formato otimizado para quebra de senhas. Este utilitário lida com arquivos criptografados tanto ZipCrypto quanto AES, detectando automaticamente o método de criptografia e extraindo os dados criptográficos apropriados necessários para quebrar senhas zip sem a senha original.
# Instalar John the Ripper (inclui zip2john)
# Ubuntu/Debian
sudo apt update && sudo apt install john
# macOS (com Homebrew)
brew install john
# Arch Linux
sudo pacman -S john
# Extrair hash de um único arquivo ZIP
zip2john protected.zip > zip_hash.txt
# Extração em lote de múltiplos arquivos ZIP
for archive in *.zip; do
zip2john "$archive" >> all_zip_hashes.txt
done
# Examinar formato do hash extraído
cat zip_hash.txt
# Formato mostra tipo de criptografia: PKZIP ou AES
# Exemplo: filename.zip:$pkzip$1*1*2*0*encrypted_data...
# ou: filename.zip:$zip2$*0*3*0*AES_encrypted_data...
O formato de hash extraído revela informações críticas sobre o método de criptografia ZIP. O prefixo
$pkzip$
indica criptografia ZipCrypto legacy, enquanto
$zip2$
denota criptografia AES. Entender esses formatos permite seleção de estratégias de ataque apropriadas e otimização de performance.
⚡ Ataques ZIP com John the Ripper
John the Ripper fornece capacidades abrangentes de quebra de senhas ZIP com detecção automática de formato e estratégias de ataque inteligentes. Ele se destaca em ataques de dicionário com regras, tornando-o altamente eficaz para quebrar arquivos ZIP corporativos que tipicamente usam padrões de senha previsíveis.
# Ataque de dicionário para quebrar senha zip
john --wordlist=/usr/share/wordlists/rockyou.txt zip_hash.txt
# Ataque baseado em regras com mutações de senha
john --rules --wordlist=/usr/share/wordlists/rockyou.txt zip_hash.txt
# Mostrar senhas quebradas
john --show zip_hash.txt
# Modo incremental (força bruta)
john --incremental zip_hash.txt
# Regras personalizadas para padrões ZIP corporativos
echo '[List.Rules:ZIPRules]' > zip.conf
echo 'c $2 $0 $2 $3' >> zip.conf # Capitalizar + ano
echo 'c $! $@ $#' >> zip.conf # Capitalizar + símbolos
john --rules=ZIPRules --wordlist=corporate.txt zip_hash.txt
# Gerenciamento de sessão para ataques longos
john --session=hdna_zip zip_hash.txt
john --restore=hdna_zip # Retomar sessão interrompida🚀 Hashcat: quebrador de senhas ZIP
Hashcat fornece quebra de senhas ZIP acelerada por GPU com modos especializados para diferentes métodos de criptografia. Isso o torna a opção mais rápida para quebrar senhas de arquivos .zip, especialmente quando atacando múltiplos arquivos ou usando estratégias de ataque complexas.
# Modos Hashcat para criptografia ZIP
# Modo 17200: PKZIP (Comprimido)
# Modo 17210: PKZIP (Não comprimido)
# Modo 17220: PKZIP (Multi-arquivo comprimido)
# Modo 17230: PKZIP (Multi-arquivo não comprimido)
# Modo 13600: WinZip AES
# Nota: hashcat requer conversão especial de formato de hash
# Use a saída do zip2john, depois formate para hashcat
# Ataque de dicionário contra PKZIP
hashcat -m 17200 -a 0 zip_hash.txt rockyou.txt
# Ataque de máscara para padrões de senha conhecidos
hashcat -m 17200 -a 3 zip_hash.txt '?u?l?l?l?l?l?l?d?d?d?d'
# Ataque híbrido: wordlist + números
hashcat -m 17200 -a 6 zip_hash.txt corporate.txt '?d?d?d?d'
# Ataque WinZip AES (mais lento por causa do PBKDF2)
hashcat -m 13600 -a 0 zip_hash.txt rockyou.txt -w 3Aceleração GPU melhora dramaticamente a performance para criptografia PKZIP, que pode ser quebrada a bilhões de tentativas por segundo. ZIPs criptografados com AES são mais lentos por causa da derivação de chave PBKDF2, mas GPUs modernas ainda fornecem vantagens significativas sobre quebra baseada em CPU.
🎯 fcrackzip: quebrador de senhas ZIP especializado
fcrackzip é uma ferramenta dedicada de quebra de senhas zip projetada especificamente para arquivos ZIP. Embora suporte apenas criptografia PKZIP legacy, fornece uma interface simples para tentativas rápidas de recuperação de senha e ataques de força bruta contra arquivos ZIP mais antigos.
# Instalar fcrackzip
sudo apt install fcrackzip # Ubuntu/Debian
brew install fcrackzip # macOS
sudo pacman -S fcrackzip # Arch Linux
# Ataque de dicionário com fcrackzip
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u protected.zip
# Ataque de força bruta (minúsculas + números, comprimento 1-8)
fcrackzip -b -c 'aA1' -l 1-8 -u protected.zip
# Saída verbosa mostrando tentativas
fcrackzip -v -D -p wordlist.txt -u protected.zip
# Opções de conjunto de caracteres:
# -c 'a' : letras minúsculas
# -c 'A' : letras maiúsculas
# -c '1' : números
# -c '!' : caracteres especiais
# -c 'aA1' : minúsculas, maiúsculas, números combinadosEmbora fcrackzip seja conveniente para ataques rápidos, ele funciona apenas com criptografia PKZIP e não tem aceleração GPU. Para avaliações profissionais, zip2john combinado com John the Ripper ou hashcat fornece melhor performance e suporte de formato mais amplo.
🔍 Ataques de texto plano conhecido
Ataques de texto plano conhecido exploram fraquezas na criptografia ZipCrypto usando cópias não criptografadas de arquivos contidos no arquivo compactado. Ferramentas como bkcrack podem recuperar chaves de criptografia sem precisar quebrar a senha, fornecendo acesso instantâneo ao conteúdo do arquivo.
# Instalar bkcrack (ferramenta de ataque de texto plano conhecido)
git clone https://github.com/kimci86/bkcrack.git
cd bkcrack
cmake -S . -B build -DCMAKE_INSTALL_PREFIX=install
cmake --build build --config Release
cmake --build build --config Release --target install
# Cenário de ataque de texto plano conhecido:
# Você tem: encrypted.zip contendo report.pdf
# Você encontrou: cópia não criptografada de report.pdf
# Criar ZIP em texto plano (sem compressão)
zip -0 plaintext.zip report.pdf
# Recuperar chaves internas usando texto plano conhecido
./bkcrack -C encrypted.zip -c report.pdf -P plaintext.zip -p report.pdf
# Uma vez as chaves recuperadas, descriptografar arquivo inteiro sem senha
./bkcrack -C encrypted.zip -k 12345678 87654321 abcdef01 -D decrypted.zip
# Este ataque funciona contra todos os arquivos criptografados PKZIP
# Não requer quebra de senha - quebra a criptografia diretamenteAtaques de texto plano conhecido representam a vulnerabilidade mais severa na criptografia ZipCrypto. Pesquisadores de segurança documentaram essa fraqueza extensivamente, demonstrando que mesmo senhas fortes não fornecem proteção quando atacantes podem obter versões não criptografadas dos arquivos compactados. Esta técnica é particularmente eficaz em ambientes corporativos onde arquivos são frequentemente compartilhados tanto criptografados quanto não criptografados.
Contramedidas defensivas
🛡️ Padrões fortes de criptografia de arquivos
Organizações devem proibir criptografia ZipCrypto legacy e exigir criptografia AES-256 para todos os arquivos protegidos por senha. A especificação de criptografia WinZip AES fornece proteção padrão da indústria quando combinada com senhas fortes e derivação de chave adequada.
- Aplicação de método de criptografia : Exigir AES-256 para todos os arquivos protegidos
- Proibição de formatos legados : Bloquear criação de arquivos criptografados ZipCrypto
- Padronização de ferramentas : Implantar software de arquivamento com configurações fortes de criptografia por padrão
- Verificação de criptografia : Varredura automatizada para detectar métodos de criptografia fracos
🔐 Políticas de senhas de arquivos
Proteção eficaz de arquivos requer políticas de senha especificamente projetadas para criptografia no nível de arquivo. Diferente de senhas de autenticação, senhas de arquivos devem assumir que o arquivo criptografado pode ser obtido por atacantes e submetido a tentativas de quebra offline.
- Requisitos de alta complexidade : Mínimo 16 caracteres com tipos de caracteres mistos
- Restrições de termos organizacionais : Proibir nomes de empresa, códigos de projeto, nomes de departamento
- Senhas únicas por arquivo : Nunca reutilizar senhas entre múltiplos arquivos
- Compartilhamento de senha fora de banda : Transmitir senhas por canais separados dos arquivos
⚡ Alternativas modernas de compartilhamento de arquivos
Arquivos ZIP protegidos por senha representam práticas de segurança desatualizadas para a maioria dos cenários. Organizações devem implementar plataformas modernas de compartilhamento seguro de arquivos que fornecem segurança superior, auditoria e controle de acesso comparados a arquivos criptografados.
- Plataformas de compartilhamento de arquivos empresariais : SharePoint, Google Drive, Dropbox Business com segurança integrada
- Soluções de transferência de arquivos segura : Sistemas de transferência de arquivos gerenciados (MFT) com criptografia em trânsito e em repouso
- Sistemas de gerenciamento de direitos : Gerenciamento de direitos digitais (DRM) para proteção no nível do documento
- Arquiteturas zero-trust : Controle de acesso baseado em identidade substituindo criptografia baseada em senha
🔍 Monitoramento e detecção de segurança
Organizações devem implementar sistemas de monitoramento para detectar tentativas suspeitas de criação e exfiltração de arquivos. Sistemas de prevenção de perda de dados (DLP) podem identificar arquivos criptografados no tráfego de rede e prevenir transferência não autorizada de dados.
- Integração DLP : Detectar e bloquear transmissão não autorizada de arquivos criptografados
- Varredura de segurança de email : Analisar anexos protegidos por senha para ameaças
- Monitoramento de endpoints : Rastrear atividade de criação de arquivos e sinalizar anomalias
- Prontidão forense : Manter capacidades de quebra de senhas ZIP para resposta a incidentes
FAQ
Fundamentos da quebra de senhas ZIP
Como posso quebrar uma senha zip sem a senha original?
Para quebrar proteção por senha zip sem a senha original, use zip2john para extrair o hash criptográfico do arquivo criptografado, depois aplique ferramentas de quebra de senhas como John the Ripper ou hashcat com ataques de dicionário, força bruta ou híbridos. Para criptografia ZipCrypto legacy, ataques de texto plano conhecido usando ferramentas como bkcrack podem recuperar chaves de criptografia diretamente sem quebra de senha quando você tem cópias não criptografadas de arquivos do arquivo compactado.
Qual ferramenta de quebra de senhas zip é mais eficaz?
A ferramenta de quebra de senhas zip mais eficaz depende do método de criptografia e cenário de ataque. Para criptografia PKZIP (ZipCrypto), hashcat com aceleração GPU fornece a performance mais rápida. Para arquivos criptografados AES, John the Ripper oferece excelentes ataques de dicionário com regras. Para cenários de texto plano conhecido, bkcrack pode recuperar chaves de criptografia instantaneamente sem quebra de senha. Avaliações profissionais tipicamente usam zip2john para extração de hash combinado com hashcat para velocidade ou John the Ripper para versatilidade.
Qual a diferença entre criptografia PKZIP e AES em arquivos ZIP?
PKZIP (ZipCrypto) é o método de criptografia legacy usando uma cifra de fluxo proprietária com fraquezas criptográficas conhecidas, tornando-o vulnerável a ataques de texto plano conhecido e quebra rápida por força bruta. Criptografia AES (AES-128/256) fornece proteção criptograficamente forte usando algoritmos padrão da indústria com derivação de chave PBKDF2. Embora ambos possam ser atacados através de quebra de senha, AES oferece segurança significativamente melhor. Ferramentas ZIP modernas devem sempre usar criptografia AES para dados sensíveis.
Implementação técnica
Como quebrar senhas de arquivos .zip usando hashcat?
Para quebrar senhas de arquivos .zip com hashcat, primeiro extraia o hash usando zip2john, depois identifique o tipo de criptografia pelo formato do hash ($pkzip$ ou $zip2$). Para criptografia PKZIP, use modo hashcat 17200 (comprimido) ou 17210 (não comprimido). Para criptografia AES, use modo 13600. Note que hashcat pode requerer conversão de formato de hash da saída do zip2john. Aceleração GPU fornece vantagens significativas de performance, especialmente para criptografia PKZIP que pode ser quebrada a bilhões de tentativas por segundo.
Posso quebrar uma senha em um arquivo zip se ele usa criptografia AES-256?
Sim, você pode quebrar uma senha em um arquivo zip com criptografia AES-256, mas é significativamente mais difícil que criptografia PKZIP. AES-256 usa criptografia forte, então a segurança depende inteiramente da força da senha. Senhas fracas permanecem vulneráveis a ataques de dicionário e híbridos independente do método de criptografia. No entanto, AES usa derivação de chave PBKDF2 com 1.000 iterações, desacelerando tentativas de quebra. Senhas fortes (16+ caracteres, alta entropia) combinadas com AES-256 tornam a quebra de senha computacionalmente inviável com a tecnologia atual.
Aplicações práticas
O que devo fazer quando ataques de dicionário padrão falham em quebrar senhas zip?
Quando ataques de dicionário falham, analise o contexto do arquivo para inteligência de senha: examine nomes de arquivos, metadados, datas de criação e localização de origem. Crie wordlists personalizadas baseadas em informações organizacionais, nomes de projetos e padrões de usuários. Tente ataques híbridos combinando palavras base com anos, números e símbolos. Para criptografia PKZIP, investigue ataques de texto plano conhecido se você pode obter versões não criptografadas de arquivos do arquivo compactado. Considere ataques de máscara baseados em políticas de senha conhecidas ou engenharia social para reunir dicas do criador do arquivo.
Quanto tempo leva para quebrar diferentes tipos de senhas ZIP?
Tempo de quebra varia dramaticamente baseado no método de criptografia, complexidade da senha e hardware. Criptografia PKZIP com senhas fracas (palavras de dicionário, padrões simples) quebra em segundos a minutos em GPUs modernas. Senhas PKZIP fortes podem levar horas a dias dependendo do comprimento e complexidade. Arquivos criptografados com AES levam significativamente mais tempo por causa da derivação de chave PBKDF2 - senhas simples podem quebrar em minutos a horas, enquanto senhas fortes (16+ caracteres, alta entropia) se tornam praticamente inquebráveis com a tecnologia atual, potencialmente requerendo anos ou séculos de computação.
É legal quebrar senhas zip?
Legalidade depende inteiramente de autorização e contexto. Quebrar suas próprias senhas ZIP ou aquelas que você está autorizado a acessar (com permissão escrita) é legal. Profissionais de segurança quebram senhas ZIP durante testes de penetração autorizados, investigações forenses com autoridade legal apropriada, e atividades de resposta a incidentes. No entanto, quebrar senhas ZIP sem autorização—mesmo se você possui o arquivo criptografado—pode violar leis de fraude de computador em muitas jurisdições. Sempre obtenha permissão escrita explícita antes de tentar quebrar senhas zip em contextos profissionais, e mantenha documentação de autorização para proteção legal.
🎯 Você dominou a quebra de senhas ZIP!
Você agora entende como quebrar senhas zip usando ferramentas profissionais de quebra de senhas zip, pode extrair hashes e quebrar senhas de arquivos .zip com ataques de dicionário e força bruta, e sabe como quebrar uma senha em um arquivo zip independente do método de criptografia. Essas habilidades são essenciais para testes de penetração, forense digital, resposta a incidentes e avaliações de segurança envolvendo arquivos criptografados.
Pronto para explorar técnicas de recuperação de senhas de arquivos RAR e 7-Zip