https://game.etao.net/w/index.php?action=history&feed=atom&title=RAR%E6%A0%BC%E5%BC%8F 2026-05-06T07:47:04Z 本wiki上该页面的版本历史 MediaWiki 1.43.0 https://game.etao.net/w/index.php?title=RAR%E6%A0%BC%E5%BC%8F&diff=265&oldid=prev 2023-07-03T05:59:58Z

<p>创建页面，内容为“{{Ctf_Wiki}} &lt;span id=&quot;rar-格式&quot;&gt;&lt;/span&gt; = RAR 格式 = == 文件格式 == RAR 文件主要由标记块，压缩文件头块，文件头块，结尾块组成。 其每一块大致分为以下几个字段： {| class=&quot;wikitable&quot; |- ! 名称 ! 大小 ! 描述 |- | HEAD_CRC | 2 | 全部块或块部分的CRC |- | HEAD_TYPE | 1 | 块类型 |- | HEAD_FLAGS | 2 | 阻止标志 |- | HEAD_SIZE | 2 | 块大小 |- | ADD_SIZE | 4 | 可选字段 - 添加块大小 |} R…”</p> <p><b>新页面</b></p><div>{{Ctf_Wiki}}<br /> &lt;span id=&quot;rar-格式&quot;&gt;&lt;/span&gt;<br /> = RAR 格式 =<br /> <br /> == 文件格式 ==<br /> <br /> RAR 文件主要由标记块，压缩文件头块，文件头块，结尾块组成。<br /> <br /> 其每一块大致分为以下几个字段：<br /> <br /> {| class=&quot;wikitable&quot;<br /> |-<br /> ! 名称<br /> ! 大小<br /> ! 描述<br /> |-<br /> | HEAD_CRC<br /> | 2<br /> | 全部块或块部分的CRC<br /> |-<br /> | HEAD_TYPE<br /> | 1<br /> | 块类型<br /> |-<br /> | HEAD_FLAGS<br /> | 2<br /> | 阻止标志<br /> |-<br /> | HEAD_SIZE<br /> | 2<br /> | 块大小<br /> |-<br /> | ADD_SIZE<br /> | 4<br /> | 可选字段 - 添加块大小<br /> |}<br /> <br /> Rar压缩包的文件头为 &lt;code&gt;0x 52 61 72 21 1A 07 00&lt;/code&gt;。<br /> <br /> 紧跟着文件头（0x526172211A0700）的是标记块（MARK_HEAD），其后还有文件头（File Header）。<br /> <br /> {| class=&quot;wikitable&quot;<br /> |-<br /> ! 名称<br /> ! 大小<br /> ! 描述<br /> |-<br /> | HEAD_CRC<br /> | 2<br /> | CRC of fields from HEAD_TYPE to FILEATTR and file name<br /> |-<br /> | HEAD_TYPE<br /> | 1<br /> | Header Type: 0x74<br /> |-<br /> | HEAD_FLAGS<br /> | 2<br /> | Bit Flags (Please see ‘Bit Flags for File in Archive’ table for all possibilities)（伪加密）<br /> |-<br /> | HEAD_SIZE<br /> | 2<br /> | File header full size including file name and comments<br /> |-<br /> | PACK_SIZE<br /> | 4<br /> | Compressed file size<br /> |-<br /> | UNP_SIZE<br /> | 4<br /> | Uncompressed file size<br /> |-<br /> | HOST_OS<br /> | 1<br /> | Operating system used for archiving (See the ‘Operating System Indicators’ table for the flags used)<br /> |-<br /> | FILE_CRC<br /> | 4<br /> | File CRC<br /> |-<br /> | FTIME<br /> | 4<br /> | Date and time in standard MS DOS format<br /> |-<br /> | UNP_VER<br /> | 1<br /> | RAR version needed to extract file (Version number is encoded as 10 * Major version + minor version.)<br /> |-<br /> | METHOD<br /> | 1<br /> | Packing method (Please see ‘Packing Method’ table for all possibilities<br /> |-<br /> | NAME_SIZE<br /> | 2<br /> | File name size<br /> |-<br /> | ATTR<br /> | 4<br /> | File attributes<br /> |-<br /> | HIGH_PACK_SIZ<br /> | 4<br /> | High 4 bytes of 64-bit value of compressed file size. Optional value, presents only if bit 0x100 in HEAD_FLAGS is set.<br /> |-<br /> | HIGH_UNP_SIZE<br /> | 4<br /> | High 4 bytes of 64-bit value of uncompressed file size. Optional value, presents only if bit 0x100 in HEAD_FLAGS is set.<br /> |-<br /> | FILE_NAME<br /> | NAME_SIZE bytes<br /> | File name - string of NAME_SIZE bytes size<br /> |-<br /> | SALT<br /> | 8<br /> | present if (HEAD_FLAGS &amp;amp; 0x400) != 0<br /> |-<br /> | EXT_TIME<br /> | variable size<br /> | present if (HEAD_FLAGS &amp;amp; 0x1000) != 0<br /> |}<br /> <br /> 每个 RAR 文件的结尾块（Terminator）都是固定的。<br /> <br /> {| class=&quot;wikitable&quot;<br /> |-<br /> ! Field Name<br /> ! Size (bytes)<br /> ! Possibilities<br /> |-<br /> | HEAD_CRC<br /> | 2<br /> | Always 0x3DC4<br /> |-<br /> | HEAD_TYPE<br /> | 1<br /> | Header type: 0x7b<br /> |-<br /> | HEAD_FLAGS<br /> | 2<br /> | Always 0x4000<br /> |-<br /> | HEAD_SIZE<br /> | 2<br /> | Block size = 0x0007<br /> |}<br /> <br /> 更多详见 [https://forensics.wiki/rar/ Rar - Forensics Wiki]<br /> <br /> == 主要攻击 ==<br /> <br /> === 爆破 ===<br /> <br /> * Linux下的 [http://rarcrack.sourceforge.net/ RarCrack]<br /> <br /> === 伪加密 ===<br /> <br /> RAR 文件的伪加密在文件头中的位标记字段上，用 010 Editor 可以很清楚的看见这一位，修改这一位可以造成伪加密。<br /> <br /> [[File:./figure/6.png]]<br /> <br /> 其余明文攻击等手法依旧同 ZIP 中介绍的一样。</div>

127.0.0.1