PowerPoint 彩蛋和加密

PowerPoint的彩蛋

PowerPoint的彩蛋是一个很复杂的密码 /01Hannes Ruescher/01 发现这个密码是在 binvul的论坛里面，在网上搜索了一下有几个链接提到了这个密码。

http://social.msdn.microsoft.com/Forums/en-US/4194b097-c5ca-416a-b9d6-7a65ff7d9d43
http://msdn.microsoft.com/en-us/library/dd923811(v=office.12).aspx

第二个链接里面有一段关键的内容，

If the user has not supplied an encryption password and the document is 
encrypted, the default encryption choice using the techniques specified in 
section 2.3 MUST be the following password: 
"\x2f\x30\x31\x48\x61\x6e\x6e\x65\x73\x20\x52\x75\x65\x73\x63\x68\x65\x72\x2f\x30\x31".

这里section 2.3 指的是[MS-PPT]中的section 2.3，我们可以发现这个彩蛋其实就是一个类似默认密码的东西。下面来说说这个密码的神奇之处。

彩蛋的利用

主要可以用来过杀软，因为性能原因目前很多杀软都不做PPT文档解密。而用户打开却不需要输入密码，非常巧妙。我在binvul上看到一个利用这个技术的样本。

参考资料

[MS-PPT].pdf
[MS-OFFCRYPTO].pdf