1.PDF文档
在文件尾部[如1K]开始向后查找,找到”trailer”字符串后,再找”Encrypt”标识加密,否则未加密;
2.ppt文档
在文件尾部[如2K]加密的文档中的字段(0x0FF50000 –>RT_UserEditAtom. )的值不同,主要是加密文档多出了一些加密的信息,我们就是通过检测这个字段来完成加密检测的,由于该字段名字占了四个字节,所以就直接搜索二进制文件的内容就可以了,搜索到后,检测后面的一个字节,如果是0x1C 则为common ,为 0x20 则为encrypted。
3.DOC文档
在文件头部找关键字0xA5EC00C1,然后在偏移11字节:a&0x01=0x01 则为加密;
4.XLS文档
在文件头部找关键字0x1302[后两字节],:a&0xffff!=0x00 则为加密;