WPS有这样一个特色功能，可以让本地的.pptx文件只能被授权的用户访问：

如图所示，这个.pptx文件保存在本地，但只有登录指定的WPS账号才能阅读/编辑，但不能复制、分享：

这种.pptx文件也不能被office打开：

离线后文件依旧可以查看，之前的权限依旧存在。

因此，lz猜测文件本身包含了PPT的全部信息，只不过加了一层壳，使得其它账号无法访问、编辑。

现在lz有这样一个PPT文件想要分享给朋友，但无法登录创建加密保护的WPS账号，因此期望能解包得到原有的.pptx文件。

lz的期望是PPT的动画不丢失，因此直接截图/打印成pdf等办法就失效了。

lz用同一个wps账户创建了两份这样的加密文件，解包得到了如下结构：

其中，两份文件唯一不同的WpsContent文件，猜测这是ppt文件本体，其它文件可能包括秘钥信息。

那么，怎么解密得到WpsContent呢？lz目前有了如下发现：

有个TransformMap文件里有

有个WpsOfficeTicket文件里有

提取出两个秘钥 3f122803c65d49ca7e53a4cb02176606 和 64419DEFFF3A40CBA659B9CD7E922CBD，发现都是32位，猜测对应key和iv？

尝试直接解密，发现WpsContent这个文件的大小 mod 16 余 8 字节，对两份样本都是如此，说明好像并不是标准的AES-128加密。。。尝试加了各种偏移量后用AES-128解密，无果；尝试了DES3解密，似乎无果。

而 正常的PPT结构应为：

且二进制以PK\x03\x04开头。

lz对二进制不熟悉，不清楚是否有必要逆向dll。

不知感兴趣的朋友能否进一步指教，谢谢！

提供两个ppt样本，供大家参考：

f20K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8%4N6@1M7X3q4F1M7$3k6W2M7W2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4x3X3y4T1y4X3f1J5z5o6k6V1k6r3x3@1z5b7`.`. 点击链接查看 [ 样本1.pptx ] ，或访问奶牛快传 cowtransfer.com 输入传输口令 6gxhp5 查看；

[培训]科锐逆向工程师培训第53期2025年7月8日开班！