Ich habe eineHerausforderung auf picoCTFDabei wurde ein Flag aus einer .dd
Datei abgerufen. Die .dd
Datei scheint zunächst eine Partition zu sein FAT
, die einige jpg
Dateien enthält.
Meine Idee war, die Datei zu mounten mount
und die resultierenden Dateien zu überprüfen. Als Ergebnis erhalte ich vier Dateien und keine davon enthält die Flagge, sondern nur Bilder von Tieren.
Die Lösung war ein Tool namensvor allem, als ich es auf die Datei angewendet habe, wurden acht Dateien statt vier extrahiert. Eine dieser Dateien war die Flagge und die anderen sieben waren Tiere.
Was machen diese Tools anders? Haben sie mount
Teile der Informationen in der .dd
Datei ignoriert, die foremost
extrahiert werden konnten?
Antwort1
mount
hat das Dateisystem gemountet und Ihnen durch die Untersuchung des Verzeichnisbaums und der Metadaten, die die Dateien definieren, den vom Dateisystem üblichen Zugriff auf die Dateien gewährt.
foremost
Ist
ein Konsolenprogramm zum Wiederherstellen von Dateien basierend auf ihren Kopf- und Fußzeilen sowie internen Datenstrukturen
Das heißt, es wird versucht, Dateien ungeachtet ihrer Metadaten zu finden und abzurufen; dazu gehören auch Dateien, die gelöscht wurden, deren Inhalt aber noch nicht überschrieben wurde.
Beachten Sie, dass der Name der Herausforderung lautet:WiederherstellungAus dem Snap".