ZIP-Passwort-Recovery-Programme scheitern an einfachsten Aufgaben?

[longterm]

Update: GELÖST. Siehe mein Posting vom 16. November.

Hallo,

ich habe mit Directory Opus 11 eine kleine Textdatei als ZIP verschlüsselt (AES 256). Das Passwort besteht aus 3 Kleinbuchstaben. Ich habe dann 5 der verbreitetsten Passwort-Recovery-Programme runtergeladen und keines war in der Lage, die 3 Buchstaben zu finden. Ich selbst kann nicht programmieren, aber selbst ich könnte ein AHK-Skript basteln, das einfach bei Directory Opus im Decrypt-Dialog alle Kombinationen (eine solche Liste zu erstellen ist ja einfach) durchtestet und dann natürlich die Lösung findet. Offenbar liegt es am Zip-Format, aber es ist mir schleierhaft, wie das so geschützt sein soll, dass man es nicht cracken kann. Wie gesagt, ich kann das ja mit etwas Mühe wahrscheinlich sogar selbst (?), jedenfalls für kurze Passwörter. Ich hefte auch mal ein Beispiel an. Wer es decrypted und mir den Inhalt (ist einfach ein Wort) nennen kann, möge mal bitte sagen, wie er/sie es gemacht hat... Danke! Anhang anzeigen code.zip

 

[wirelessy]

Servus, ich setz mich mal morgen abend dran wenn ich wieder richtige Hardware unter den Fingern hab.
Geht natürlich mit vertretbarem Zeitaufwand, auch mittels Bruteforce.

Problematisch ist nur, dass man im Zweifelsfall die ganze Datei entschlüsseln, entpacken und dann erst vergleichen kann, ob die Prüfsumme stimmt.

Welche Software hast du denn probiert? Und wieso ist die gescheitert?

 

[yaegi]

deine datei scheint kaputt zu sein. man bekommt ja nichtmal die möglichkeit sein pw einzugeben.

edit: verraft...

passware forensic 2017 sagt es sei unmöglich. warum auch immer.

 

[longterm]

Man braucht keine gute Hardware (auch nicht mit BruteForce). Es sind ja nur 3 kleinbuchstaben, das geht im Nu. Das könnt ich glaub ich sogar an einem Nachmittag per Hand eintippend (wird einem dabei etwas langweilig allerdings). 24*24*24=ca. 13.000 Kombinationen.

Der anhang ist ne txt-Datei mit einem einzigen deutschen Wort. Das Passwort ist mir bekannt, ist ja nur ein Test, damit die Leser hier ein Beispiel haben. Die Programme haben es nicht geschafft, das PW zu finden.

Advanced Archive Password Recovery
KRyLack Archive Password Recovery
Passware Kit Basic und Standard
Ultimate ZIP Cracker II
PicoZip Recovery Tool
Accent ZIP Password Recovery
AtomicZip

Ergänzung (31. Oktober 2017)

Interessant. Ich kann sie problemlos entschlüsseln, mit Directory Opus.
Danke für das Feedback.

Ergänzung (31. Oktober 2017)

Also Leute, immer mit Directory Opus verschlüsseln, da sind sogar 3 Kleinbuchstaben unknackbar ;-)
(Problem immer noch nicht gelöst...)

 

[benneq]

Und es gibt deutlich mehr als 24 mögliche Zeichen. Groß- + Kleinbuchstaben + Zahlen + Sonderzeichen. Evtl. geht sogar komplett UTF-8 oder UTF-16.

 

[longterm]

ich hab doch grad gesagt, dass das passwort nur aus 3 kleinbuchstaben besteht, benneque... ich hab es doch selbst erstellt! :-)

 

[BlubbsDE]

Dann solltest Du erst mal ein ZIP kompatibles Archiv erstellen. Keines meiner Packer entpackt es. Alles sagen, Archiv korrupt. Die Windows ZIP Funktion will es öffnen, sagt dann aber bei PW aaa, PW falsch.

So kann auch kein Recovery Programm das Archiv öffnen.

 

[longterm]

Danke. Zum Teufel, was haben die bei Directory Opus veranstaltet! Auch wenn ich das korrekte Passwort im Windows Explorer eingebe, lässt es sich nicht öffnen und behauptet, das PW sei falsch. Nur Directory Opus selbst kann es öffnen/entzippen. Sehr merkwürdig, weil DOpus eigentlich sehr hohe Qualität liefert.

D.h., soweit ich sehen kann, man bräuchte einen universelles Passwort-Knack-Programm, das in beliebige Eingabemasken Passwörter durchprobiert. Oder man kann die ZIP-Datei irgendwie konvertieren in ein lesbares Format. Ich probier das mal als erstes.

Jetzt geht der Spaß weiter: ZIP repair utils wie https://www.diskinternals.com/ behaupten, sie hätten die datei "repariert", aber öffnen lässt es sich auch danach nur in Directory Opus.

 

[gur_helios]

Leider ist die Hardware meines Laptops veraltet und ich habe gerade nichts Passendes zur Hand.

Versuche es mit hashcat.

 

[longterm]

Danke. Ich warte jetzt mal noch 1-2 Tage ab, vielleicht taucht hier noch wer auf, der das Ding im Handumdrehen crackt. Wie gesagt, es bedarf keiner nennenswerten Rechenleistung, das ist in unter 30 Sekunden auch auf alter Hardware erledigt. Ich seh das ja hier, wie schnell das geht auf einem i5 4200U, die Cracker sind im Nu bei 4-stelligen (v.a. wenn man angibt "nur kleinbuchstaben").
Wenn nach 2 Tagen keine Lösung da ist, geh ich ins hashcat Forum und berichte dann hier, was die dort gesagt haben. Ich sag dann dort, "Im computerbase forum haben die das nicht gelöst gekriegt ;-) ;-)". Und wenn das auch nix bringt, geh ich ins Directory Opus Forum, ich hab eine legale teuere DOpus Mehrfach-Lizenz, das ist intolerabel, dass die encrypted archive nonstandard sind und sich nicht mit dem Explorer öffnen lassen.

 

[Smurfy1982]

7-Zip kann mit Dateien umgehen, die Directory Opus verschlüsselt hat. Der Explorer kann, soweit ich das weiß, nur mit ZipCrypto umgehen. Nicht jedoch mit AES-256.

Daran dürften sich auch viele Revory Tools die Zähne ausbeißen. Warum aber eine Forensic Suite dass nicht schafft...

@yaegi: Kannst Du mal mit 7-Zip testen? Also eine ZIP File mit Passwort und AES-256 verschlüsselt?

Wobei mich das schon wundert. 3 Stellen müssten mit Brute Force innerhalb kürzester Zeit geknackt sein.

 

[longterm]

7zip kann es entpacken. I love 7zip.
löst zwar das problem nicht, aber dennoch interessant.
(hatte 7zip hier nicht installiert zurzeit, aber jetzt ist es hier.)

der punkt ist, dass diese aes256-zipdateien offenbar dem Windows Explorer und den Crackern vorgaukeln, dass das PW falsch sei, wenn es richtig ist, und entsprechend machen die einfach weiter, bis die CPU raucht. sie geben keine fehlermeldung aus.

allerdings müsste sich mit 7zip command line und autohotkey ja dann relativ leicht ein cracker basteln lassen. (ich kann das nicht, oder erst nach stundenlanger AHK-studiererei)

komisch auch, dass ich auf anhieb kein script finden konnte, das einfach passwörter in eine maske eingibt und danach jedesmal einen return key sendet. gibt's aber bestimmt irgendwo.

 

[Rossie]

der punkt ist, dass diese aes256-zipdateien offenbar dem Windows Explorer und den Crackern vorgaukeln, dass das PW falsch sei, wenn es richtig ist, und entsprechend machen die einfach weiter, bis die CPU raucht.

Vielleicht unterstützen diese Tools einfach das Format nicht. Allerdings sollte eine entsprechende Fehlermeldung drin sein.

allerdings müsste sich mit 7zip command line und autohotkey ja dann relativ leicht ein cracker basteln lassen.

Klar, das ist nicht schwer. Wie lautet denn das Password für das code.zip Archiv?

 

[longterm]

Das Passwort lautet "mmx". Danke erneut an alle, die sich dieses Themas hier annehmen.

(Also das Problem ist immer noch nicht gelöst. Das war ja nur eine Beispieldatei.)

 

[wirelessy]

WinRAR mag auch nicht, Fehlermeldung "Unbekannte Verschlüsselungsmethode". Ich vermute, dass Directory Opus irgendwas verrücktes zum Passwort hashen nimmt, was die Cracking Tools nicht kennen. Ich schau mal weiter ob ich da mehr finde.

 

[longterm]

Was ich in der Zwischenzeit rausgefunden habe: 1. Es sei PKWARE, und 2. die neueste DOpus-Version (also 12, nicht 11) scheint (laut aussage einer anderen Person) diese Zips nicht mehr zu verwenden (was auch nicht verwundert, wenn Windows Explorer sie nicht entschlüsseln kann). (Keine Ahnung ob Windows Explorer andere AES256-verschlüsselungen tatsächlich handeln kann.) löst alles das problem nicht, aber egal.
Außerdem gibt es ein Programm, das es cracken kann (im gegensatz zu all den genannten, die es nicht können), aber ich kriege das bei mir nicht zum laufen (zickt an allen möglichen stellen bei mir, auch auf meinem zweit pc, aber beim programmierer funktioniert es). dieses programm heißt "parallel password recovery manager". etwas unkonventionell, die crackarbeit wird irgendwie an server ausgelagert, wobei man auch den lokalen rechner als server nutzen kann, aber bei dem ganzen prozess gibt es nur probleme. aber der entwickler hat mir einen screenshot geschickt zum beweis, dass er es geknackt hat (mmx konnte er nennen).

 

[longterm]

GELÖST/SOLVED:

Danke für den Tipp mit Hashcat/John the Ripper. JtR wurde nun geupdated, um auch diesen zip-typ cracken zu können.

- Neueste JtR Jumbo verwenden
- zip crack readme: https://github.com/magnumripper/JohnTheRipper/blob/bleeding-jumbo/doc/README-ZIP

$ ../run/zip2john example.zip > hashes

$ ../run/john hashes --mask=?a?a
Loaded 2 password hashes with 2 different salts (securezip, PKWARE SecureZIP [SHA1 AES 32/64])
cp (example.zip)
## [cp=cracked two character password]