ZIP 文件使用 AES-256 加密，并且使用慢速密钥导出函数 (KDF) 导出密钥，这使得暴力破解和字典攻击通常不可行。目前没有已知的绕过加密的方法。

直接意思是，您提到（提取数据），不。但是请记住，在任何受密码保护的 ZIP 存档中的任何程序（或用户）都可以（不知道密码）：

• 浏览文件列表，
• 检查文件类型¹ .

ZIP 文件也可以是“损坏的”，意思是您可以用另一个名称相同的文件覆盖现有的、受密码保护的、存储在 ZIP 文件中的文件，而无需知道密码。

所有这些提到的操作都不会让攻击者访问内容（他或她仍然无法提取数据），只是列出或销毁它。所以我提到这只是作为一种可能的副作用，你可能没有意识到。有些人将此视为安全漏洞，并指出由于这个原因，ZIP 文件是不安全的，但其他人则认为安全没有受到侵犯，即使有这些提到的“添加”。

由于 ZIP 文件的内容可以在不知道密码的情况下更改，通过将受密码保护的文件替换为另一个文件，我们可以用心理术语（社会工程、黑客攻击等）谈论完全不安全。攻击者可以在不知道密码的情况下更改 ZIP 文件的内容，并向受害者声称密码未更改。受害者，在不知道上述副作用的情况下，可能会错误地认为存档没有被更改或它的内容没有被更改，因为他或她（受害者）是唯一知道密码的人。

在这里，您有我关于 ZIP 文件安全性的简单问题，结果证明这是一个非常好的读数，有很多有用的答案和评论。

¹_{尝试通过 Gmail 发送包含 EXE 文件的加密、受密码保护的 ZIP 文件，以查看此“操作中”。Gmail 将能够检测到您正在发送可执行文件（并阻止您这样做），即使它不知道密码，您的 ZIP 也受到保护。旁注：这既有趣又令人惊讶，重命名同一个文件，通过赋予它不同的扩展名（即 file.not-zip）可以完全解除这种“保护”机制，并允许您发送包含可执行文件的存档。有趣的是，因为 Gmail 能够“破解”加密的、受密码保护的 ZIP，以“保存”用户发送可执行文件，但在文件重命名时完全“死亡”。}

不，据我所知，除了暴力破解密码之外，目前没有可行的攻击媒介。