En fcrackzip man dicen:
cuantos más archivos proporcione, mejor.
Quiero saber por qué. ¿Cuál es el método que utiliza para recuperar la contraseña?
Se lee la descripción completa
fcrackzip busca en cada archivo zip dado los archivos cifrados y intenta adivinar la contraseña. Todos los archivos deben estar cifrados con la misma contraseña , cuantos más archivos proporcione, mejor.
Mirar las opciones de la línea de comandos le indica a los diferentes modos cómo adivina la contraseña, que son básicamente un ataque de diccionario o forzados brutos con diferentes especificaciones de contraseña. No hay magia profunda criptoanalítica que se beneficiaría de tener más texto cifrado.
Digamos que el atacante tiene 20 archivos. Saben que están encriptados con la misma contraseña, pero no saben cuál. Cuando pasan los 20 archivos a la vez, fcrackzip intentaría adivinar la contraseña para el primer archivo, y cuando encontró la correcta, intentará la misma contraseña en los otros 19 archivos, descifrando todos a la vez. Pero cuando el atacante pasa los 20 archivos uno tras otro, fcrackzip reiniciará la fuerza bruta para cada archivo.
El antiguo formato zip contiene un byte de verificación (o, a veces, incluso 2) para cada entrada de archivo para verificar rápidamente si la contraseña es correcta o incorrecta. Este byte de verificación se verifica contra el último byte del 'encabezado de descifrado' descifrado.
Desde APPNOTE.TXT de PkWare:
Después de descifrar el encabezado, los últimos 1 o 2 bytes en Buffer DEBERÍAN sea la palabra / byte de orden superior del CRC para el archivo que se está descifrando, almacenados en el orden Intel de bytes bajos / bytes altos. Versiones de PKZIP antes de 2.0 utilizó un cheque de CRC de 2 bytes; se utiliza una comprobación de CRC de 1 byte en las versiones posteriores a 2.0. Esto se puede utilizar para probar si la contraseña proporcionada es correcto o no.
La mayoría de los crackers de fuerza bruta (como fcrackzip o yazc) utilizan la suposición de que cada archivo en el archivo comprimido está encriptado con la misma contraseña y, por lo tanto, usa múltiples bytes de verificación (cada archivo tiene un byte de verificación) para eliminar falsos positivos más rápidamente. Los falsos positivos ocurren con bastante frecuencia (1/256) al probar cantidades masivas de contraseñas y reducen bastante la velocidad de la recuperación (básicamente, tiene que descifrar e inflar al menos un archivo y probar el código para identificar un falso positivo). / p>
Entonces, esa es la razón detrás de múltiples archivos, solo una suposición para que el proceso sea más rápido.
Nota: En el caso del fcrackzip original, cada falso positivo se probó llamando al comando 'descomprimir' y probando la salida del comando (que es muy lenta).
Lea otras preguntas en las etiquetas file-encryption password-cracking zip