[ksnctf] USB flash drive

ksnctfにチャレンジ
第18問目です。

※ksnctfは常駐型のCTFサイトです。
※問題のページはコチラです。

USB flash drive

USBメモリをddした風のイメージファイルが課題の問題です。
素直に mount -o loop すると 3枚の画像が入っているだけで
なにも起こりません。

削除されたり破損したりしたデータを探す必要がありそうです。

とりあえず Photorec を使って抽出を試みると
1枚の画像が復元できました。 曰く

The flag is in this file, but not in this image

とのこと、 not in this image とのことなので
このデータを探してもなにもないようです。

強力なフォレンジックツールでもあればいいのかもしれませんが
とりあえず NTFSなので 他にファイルに関する情報ということで MFTを
覗いてみることにしました。

バイナリエディタで

L     i     b     e     r     t     y
4C 00 69 00 62 00 65 00 72 00 74 00 79 00

などで検索をかけて無事に発見
すると
8+3 name LIBERT~.JPGや
full name LIberty Leading the People.jpg
などのよくある属性の後ろに
00 : FLA
01 : G_q
と追加の拡張属性が追加されています。

表示幅を調整すると読めるのでこれで終了しました。
本当は MFTを探して属性ごとに切り分ける
スクリプトでもかけばかっこいいのかもしれません。

その後Windows環境を立ち上げたときに入っている Autopsy を起動して
みました。

…優秀ですねぇ

コメントする