![[ksnctf] USB flash drive](/images/3/3/c/c/b/33ccb5e741620b6a7e626b810603eb1a9121eb48-18a.png "[ksnctf] USB flash drive")
ksnctfにチャレンジ 第18問目です。
※ksnctfは常駐型のCTFサイトです。 ※問題のページはコチラです。
USB flash drive
USBメモリをddした風のイメージファイルが課題の問題です。 素直に mount -o loop すると 3枚の画像が入っているだけで なにも起こりません。
削除されたり破損したりしたデータを探す必要がありそうです。
とりあえず Photorec を使って抽出を試みると 1枚の画像が復元できました。 曰く
The flag is in this file, but not in this imageとのこと、 not in this image とのことなので このデータを探してもなにもないようです。
強力なフォレンジックツールでもあればいいのかもしれませんが とりあえず NTFSなので 他にファイルに関する情報ということで MFTを 覗いてみることにしました。
バイナリエディタで
L i b e r t y
4C 00 69 00 62 00 65 00 72 00 74 00 79 00などで検索をかけて無事に発見 すると 8+3 name LIBERT~.JPGや full name LIberty Leading the People.jpg などのよくある属性の後ろに 00 : FLA 01 : G_q と追加の拡張属性が追加されています。
表示幅を調整すると読めるのでこれで終了しました。 本当は MFTを探して属性ごとに切り分ける スクリプトでもかけばかっこいいのかもしれません。
その後Windows環境を立ち上げたときに入っている Autopsy を起動して みました。
…優秀ですねぇ
