Estoy intentando resolver una tarea en la búsqueda para principiantes de Google CTF 2019. Hay un archivo NTFS en la tarea. Sé que el archivo tiene un flujo de datos alternativo (la sugerencia menciona atributos extendidos).
No sé cómo acceder a los anuncios en la terminal de Linux. Utilicé varias herramientas y palabras clave, pero no pude revelar los anuncios y mucho menos acceder a ellos.
Respuesta1
En términos de Windows, dir /rno muestra Atributos Extendidos; muestraFlujos de datos alternativos. (Si bien los EA existen en Windows, en su mayoría se los trata como una reliquia de OS/2).
Noextraiga el contenido del sistema de archivos utilizando herramientas aleatorias como 7zip. Esto perderá la mayoría de los metadatos (incluidos EA y ADS), ya que estas herramientas no los entienden y/o no les importan. Debe inspeccionar el archivo mientras aún se encuentra dentro de la imagen original del sistema de archivos NTFS.
Puede utilizar ntfs-progs para inspeccionar el contenido de la imagen:
ntfsls -l <image> ntfsinfo -F <path> <image>Puede montar la imagen usando NTFS-3G con
streams_interface=xattr, luego simplemente consultar la lista de xattrs (en este modo, cada secuencia NTFS se muestra como un xattr de Linux):attr -l <path> getfattr <path>Puede montar la imagen usando NTFS-3G con
streams_interface=windows, luego consultar el xattr virtual "ntfs.streams.list":attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>