这个世界上最伟大，使用最广泛的软件是那个？无疑Microsoft Office要占一个。自打1988年发布第一个Microsoft Office产品后，在过去的30年中，Microsoft Office已从简单的文本编辑器发展成为桌面应用程序和云服务的强大组合。目前拥有超过12亿用户的桌面Office套件和超过6000万的Office 365云服务用户。通过向后兼容文件格式，Microsoft Office已成为事实上的文档交换标准。

自从1991年发布的Word 2.0，Microsoft一直在使用加密功能来帮助用户保护其内容。但是时常有用户缺了丢了加密文档的密码或者忘记了某些重要加密文档的密码，这时候就需要想办法找回密码或者破解。Elcomsoft 出品的软件Advanced Office Recovery（AOR）估计有部分人知道，本文虫虫就说说Microsoft Office加密算法的历史演变，多种保护类型之间的区别，并以AOR为例子说明Microsoft Office加密的密码恢复。

Word 2.0-95，Excel 4.0-95：可即时恢复

这些版本的Microsoft Office应用程序采用的是基于XOR操作的弱加密算法。甚至在过去，该算法的强度更可以认为是一种混淆措施而不是加密。包括Office 95在内的所有之前版本的Word和Excel的所有密码都可以立即恢复，不需要额外暴力破解。

Office 97：使用Thunder Tables可即时解密或以极快的速度恢复原始密码。

Microsoft Office 97在发布时故意使用了弱加密。由于美国政府的加密算法出口限制，所以对其故意预留了漏洞：Office 97使用了RC4进行加密，并用MD5进行哈希处理。采用40位长度的加密密钥和一次MD5哈希迭代来保护信息。即使在过去，而40位长度的密钥则加密强度太低，可以通过集群计算破解。在现在硬件条件下，即使不使显卡的GPU加速计算，在普通级别的Intel Core i7 CPU只需几天的直接暴力破解就可以对其破解。

Elcomsoft通过构建可能的40位密钥Elcomsoft Thunder Tables? 彩虹表破解。可以实现在几秒钟内破解所有加密的Word 97文档和大多数（约97%）Excel 97加密电子表格。

重要的是要注意，解密文档不需要实际的密码，只需要破解40位密钥即可。如果实际需要必须破解出密码源码，则必须需要通过计算暴力破解。

具有默认加密的Office 2000，XP和2003：使用Thunder Tables即时解密，或以极快的速度恢复默认密码设置的原始密码

尽管从未完全解除对密码算法的出口限制，但到2000年，美国联邦的出口限制几乎不再存在。但是，Microsoft在Office 2000，XP和2003中继续使用弱加密。这些版本的Microsoft Office默认使用和97一样的哈希算法。因此，用Thunder Tables插件的Elcomsoft Advanced Office Recovery可以在几秒钟内解密大多数Office 2000，XP和2003加密文档。

从Office 2003开始，Microsoft允许使用外部加密服务来增加密钥长度。如果使用外部加密提供程序（这种情况很少见），则必须破解原始的纯文本密码，而不是恢复40位加密密钥。即使使用外部加密提供程序，Office 2003的保护仍然非常薄弱。普通消费级Intel Core i7 CPU每秒可尝试300万个密码。用GPU计算将这个速度提高200倍，从而使破解变得非常快。有趣的是，密码恢复速度并不取决于所选的密钥长度。破解密码所需的时间完全取决于密码的长度和复杂性。因此，简单的密码几乎可以立即恢复，而平均7个字符的字母数字密码大约需要一天半的时间。

如果您看到带有DOC或XLS扩展名的Office文件，则该文件是在2003年以前的Microsoft Office 2.0中创建的，或者是在使用较新版本的兼容模式下。兼容模式还意味着该文件必须使用兼容（不安全）加密，以便可以在较早版本的Office中正确打开该文件。因此，无论Microsoft Office的版本如何，任何DOC或XLS文件都可以在几分钟之内被破坏（如果必须恢复原始密码，则需要几天的时间）。

Office 2007：无法即时解密，需要暴力破解，甚至需要字典表配合

新的文件格式和全新的加密。无法即时恢复打开密码。合理的快速破解，可以使用暴力破解来恢复相对较短和简单的密码。更复杂的密码需要词典破解。

美国政府放宽密码算法出口管制的七年后，微软终于放弃了默认的40位加密。但是，新的加密方案并不是Office 2007唯一的新功能。

从2007年开始，Word和Excel（以及许多其他Microsoft Office应用程序）的更新版本引入了新的默认保存格式。对于Microsoft Word，文件扩展名从DOC更改为DOCX。Excel电子表格现在保存为XLSX文件而不是XLS（新格式可以追溯到1990年代最初基于OLE的文件格式的"扩展"或" eXtreme"版本。额外的" X"代表Office Open XML标准）。对我们而言重要的是，新文件格式使用了新的加密方案。

Office 2007使用了大幅改进的加密。Microsoft使用行业标准的AES-128进行加密，去除了陈旧的40位RC4和单MD5哈希迭代。50000次SHA-1哈希迭代大大增强了加密的安全性，也大大加大了破解的难度。使用长加密密钥使对密钥本身的破解变得不可行，必须使用恢复原始的纯文本密码的方法，所以必须要进行暴力破解（或基于字典的破解）。

即使在今天，使用Office 2007加密的文档（但未保存在兼容模式下）仍是相当安全的。典型的Intel Core i7 CPU的恢复速度为每秒约1000个密码，用GPU算法的破解，在单个NVIDIA Tesla V100显卡硬件条件下每秒可尝试约20万个密码。这样的情况下，要破解密码，只能通过字典表的方式减少尝试的范围。

Office 2010：安全性提高两倍

加密强度是Office 2007的两倍。中速破解，暴力破解可用于恢复一些非常简短的密码。更复杂的密码需要词典破解。

在Office 2010中，Microsoft继续使用他们在Office 2007中引入的加密方案。新Office仍然使用AES-128进行加密，并且仍然依赖SHA-1进行哈希处理。但是，哈希迭代次数从50000（Office 2007）翻倍至100000（Office 2010）。这样做是为了考虑到使密码至少与三年前一样安全的硬件的发展。

在现在的硬件上，可以在单个Intel Core i7 CPU上每秒尝试大约500个密码组合。如果使用GPU，则该数字每秒最多可增加到10万个密码（NVIDIA Tesla V100）。在其他数据格式中，该速度大约是平均值。在这一点上，除了使用最短的密码，对于所有密码而言，直接的暴力破解变得不可行，只能使用字典表破解。

Office 2013、2016、2019

比Office 2010强五倍。低速破解。GPU辅助的暴力破解可用于恢复少于3个字符的密码。普通密码则需要词典破解，而复杂的长密码必须通过分布式集群破解。

从Office 2013开始，Microsoft不断提高加密强度（文档仍与Microsoft Office的早期版本向后兼容）。Office 2013中引入了新的加密方法（AES-256）和新的哈希算法（SHA-512）。

Office 2013、2016和2016使用AES-128或AES-256进行加密，并使用SHA-512 100000迭代进行哈希处理。这导致所有密码恢复工具的性能大大下降。在一台Intel Core i7上每秒可尝试大约50个密码。使用GPU（NVIDIA Tesla V100）可将恢复速度提高到每秒约2万个密码。这样的速度下，除了最简单的密码（长度为1到3个字符）之外纯暴力破解变得不可能，唯一可行的方法是使用字典词典破解。为了破解长而复杂的密码，只能通过分布式网络基于字典的破解（Elcomsoft分布式密码恢复）。

总结

最后我们总结一下，对于Office加密文档的破解方法。

即时密码恢复

需要不同的工具来破解旧DOC/XLS格式和新DOCX/XLSX格式的文档。

Advanced Office Password可以快速去除旧DOC和XLS格式的文档中的密码保护，无论用于保存文件的Microsoft Office版本如何。在Microsoft Word 97/2000和Excel 97/2000中默认使用这些文件格式。它们仍然是Microsoft Office XP和2003中的默认格式（只有使用默认加密设置才能进行即时恢复）。

该工具无需恢复原始密码，而是针对使用Elcomsoft的Thunder Tables 40位加密密钥彩虹表。该方法可实现使97% Excel加密文件的密码恢复，对Microsoft Word 97/2000加密文档的恢复率达到100%。

分布式破解

Microsoft Office 2007及更高版本中使用的新加密标准使即时恢复变得不可能（除非文档以兼容模式以旧格式保存）。对于使用Office Open Format（带有DOCX和XLSX扩展名的文件）的所有版本的Microsoft Office，都必须暴力破解密码。

现代版本的Microsoft Office具有安全加密功能，因此无法进行纯暴力破解。建议在分布式网络上使用GPU辅助的词典破解。如果希望恢复保护较旧DOC/XLS文档的原始密码，也可以使用分布式密码恢复。