Ich versuche, eine Aufgabe im Anfänger-Quest von Google CTF 2019 zu lösen. In der Aufgabe ist eine NTFS-Datei enthalten. Ich weiß, dass die Datei einen alternativen Datenstrom hat (der Hinweis erwähnt erweiterte Attribute).
Ich weiß nicht, wie ich im Linux-Terminal auf ADs zugreifen kann. Ich habe verschiedene Tools und Schlüsselwörter verwendet, konnte die ADs jedoch nicht anzeigen, geschweige denn darauf zugreifen.
Antwort1
In Windows-Begriffen dir /rwerden keine erweiterten Attribute angezeigt. Es werdenAlternative Datenströme. (Auch wenn es EAs in Windows gibt, werden sie meist als Relikt von OS/2 behandelt.)
NichtExtrahieren Sie den Inhalt des Dateisystems mit beliebigen Tools wie 7zip. Dabei gehen die meisten Metadaten (einschließlich EAs und ADSs) verloren, da diese Tools sie nicht verstehen und/oder sich nicht darum kümmern. Sie müssen die Datei überprüfen, während sie sich noch im ursprünglichen NTFS-Dateisystemabbild befindet.
Sie können ntfs-progs verwenden, um den Inhalt des Images zu überprüfen:
ntfsls -l <image> ntfsinfo -F <path> <image>Sie können das Image mithilfe von NTFS-3G mounten
streams_interface=xattrund dann einfach die Liste der xattrs abfragen (in diesem Modus wird jeder NTFS-Stream als Linux-xattr angezeigt):attr -l <path> getfattr <path>Sie können das Image mithilfe von NTFS-3G mounten
streams_interface=windowsund dann das virtuelle „ntfs.streams.list“-xattr abfragen:attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>