私はpicoCTFへの挑戦ファイルからフラグを取得する作業が含まれます.dd。ファイルは、最初はいくつかのファイルを含むパーティション.ddのように見えます。FATjpg
私の考えは、 を使用してファイルをマウントしmount、結果のファイルを確認することでした。 結果として 4 つのファイルが得られましたが、そのどれもが旗ではなく、動物の写真だけでした。
解決策は、一番、このファイルに対してこれを使用したところ、4 つのファイルではなく 8 つのファイルが抽出されました。これらのファイルのうち 1 つは旗で、他の 7 つは動物でした。
これらのツールの違いは何でしょうか?抽出できたファイルmount内の情報の一部を無視しましたか?.ddforemost
答え1
mountファイルシステムをマウントし、ディレクトリ ツリーとファイルを定義するメタデータを調べることで、ファイルシステムによって提供される通常の方法でファイルにアクセスできるようにしました。
foremostは
ヘッダー、フッター、内部データ構造に基づいてファイルを回復するコンソール プログラム
つまり、メタデータに関係なくファイルを検索して取得しようとします。これには、削除されたが内容がまだ上書きされていないファイルも含まれます。
チャレンジ名は「回復「スナップから」。