RAR文件格式的研究

RAR文件格式的研究[摘要]随着科技的发展，RAR文件的使用已经渗透到人们生活，越来越多的工具被开发出来处理压缩文件，例如Winrar，zip，gzip等等，这些工具都为用户提供了良好的管理界面环境。RAR文件中蕴藏着丰富的个人信息，发掘分析其中的有用线索是调查取证的重要手段，而其首要条件就是需要对RAR文件进行格式解析。本文利用RAR实验室提供的Unrar程序对rar数据文件进行格式解析，从而为证据信息获取提供重要手段。[关键词]Winrar文件压缩文件格式分析加密解密UnrarTheResearchofRarFiles’FormatAbstractWiththerapiddevelopmentandapplicationofcomputerandnetwork，theusageofRARfilesusingcomputermoreandmorefurious,moreandmoretoolswhichcomeoutfordealingwithcompressedfiles,suchaswinrar,zip,pzipetc.Thesetoolsallprovideafriendlyuser-interface.TherearerichpersonalinformationcontaininginRARfiles.Analyzingandextractingtheuseablecluesisverysignificantforcase-investigationandevidence-gaining.ButchieflyyouhavetoparsethefileformatofRARfiles.RARlabprividestheunrarfunctionswhichcanbeusedtodotheparsingwork.Thesefunctionswillbeanimportantinformation-gainingtools.KeyWordsWinrarFilesCompressed-FileFormatsanalysisEncryption-and-decryptionUnrarfunction目录引言......................................................................................................................................1第一章RAR简介.............................................................................................................2第二章RAR2.1实例.........................................................................................................................32.2文件块结构............................................................................................................32.2.1标记块............................................................................................................42.2.2压缩文件头.....................................................................................................42.2.3文件头............................................................................................................52.2.4结尾块............................................................................................................82.2.5旧风格的块类型.............................................................................................8第三章RAR文件解压流程.............................................................................................113.1压缩文件处理步骤.................................................................................................113.2压缩文件处理流程图..............................................................................................13第四章加密RAR文件数据的处理..................................................................................144.1密钥的生成............................................................................................................144.2源数据的恢复........................................................................................................14第五章Unrar源程序分析...............................................................................................155.1典型函数分析........................................................................................................155.1.1RAR外围处理函数.......................................................................................155.1.2文件头处理函数...........................................................................................185.1.3RAR文件数据处理函数................................................................................205.1.4其余处理函数...............................................................................................225.2RAR解压缩的代码.................................................................................................24第六章总结与展望.........................................................................................................26致谢语......................................................................................................错误!未定义书签。参考文献............................................................................................................................28RAR文件格式的研究第1页引言随着科学技术水平的快速发展，越来越多的科研和工程应用部门对数据压缩和解压缩技术提出了更高的要求。RAR作为现在最流行的数据压缩软件而备受关注，RAR的压缩技术，密钥生成技术，加解密技术成为大家热衷研究的课题。很多人都有过这样的经历：用RAR对自己的文件或文档进行有效地管理，对一些较重要的进行加密处理，可是一段时间之后需要使用时，却忘记了密码，用过各种手段之后不得不以失败告终。同样针对网络犯罪，传输经过加密后的RAR压缩文件，这时对RAR信息的取证极为重要，从中挖掘、捕获直接的犯罪信息成为调查取证的重要手段。利用RAR文件进行取证，首要的任务就是要解析RAR文件的数据格式以及解压的方法，将经过加密的二进制文件数据还原成为课件的文本文档格式。本文分为六个部分：第一章RAR简介第二章RAR压缩文件格式分析第三章RAR文件解压流程第四章加密RAR文件中数据的处理第五章Unrar源程序分析第六章总结与展望RAR文件格式的研究第2页第一章RAR简介RAR是一种专利文件格式，用于数据压缩与归档打包，开发者尤金·罗谢尔（EugeneRoshal），所以RAR的全名是：RoshalARchive。首个公开版本RAR1.3发布于1993年[1]。Roshal最初编写了Dos版本的编码和解码程序，后来被移植到很多平台，例如比较著名的Windows平台上的WinRAR。EugeneRoshal公开了解码程序的源代码，但是编码程序仍然是私有的[2]。RAR因为其独特的压缩算法，能够在无损数据压缩的基础上，达到很高的压缩比，同时压缩速度也不会很低[3]。因为RAR文件头需要占据一定空间，在数据压缩余地不大时，压缩过的文件可能比源文件要大，除此之外RAR文件中可能会加入冗余数据用户恢复记录，在压缩包本身受损但恢复记录够多是可以对受损压缩包进行恢复。但是RAR最主要的一个优点是分卷压缩，可以把文件压缩目标分割到多个文件，并且很容易从这样的分割的压缩文件中解压出源文件[4]。另外，RAR也可以把所有文件压缩到同一个数据区以加大压缩比，代价就是解压一个单独的文件是必须解压其前面所有文件[5]。RAR同时也拥有成熟的加密算法，2.0版本前加密算法未公开，2.0后使用AES算法加密，在没有密码情况下目前只有暴力破解。RAR文件格式的研究第3页第二章RAR压缩文件格式分析前面一章简要介绍了RAR的历史，本章将会从RAR文件的格式入手，对一个标准的RAR文件进行分析，深入了解RAR文件中的每一个块，甚至每一个字节的含义。2.1实例创建Helloworld.rar文件，添加进文件名为test.txt的文本文件，该文本文件中包含以下字符串：Helloworld！在Ultra中加载rar文件：图2-1Helloworld.rar文件的二进制编码2.2文件块结构压缩文件由可变长度的块组成。这些块的顺序可以变化，但是第一块必须是一个在压缩文件头后的标记块[6]。现