eu estava fazendo umdesafio no picoCTFque envolveu obter um sinalizador de um .ddarquivo. O .ddarquivo inicialmente parece ser uma FATpartição que contém alguns jpgarquivos.
Minha ideia era montar o arquivo usando mounte verificar os arquivos resultantes. Como resultado, recebo quatro arquivos e nenhum deles é a bandeira, apenas fotos de animais.
A solução foi uma ferramenta chamadaacima de tudo, quando usei no arquivo, ele extraiu oito arquivos em vez de quatro. Um desses arquivos era a bandeira e os outros sete eram animais.
O que essas ferramentas estão fazendo de diferente? Ignorou mountinformações do .ddarquivo que foremostfoi possível extrair?
Responder1
mountmontou o sistema de arquivos e deu acesso aos arquivos da maneira usual fornecida pelo sistema de arquivos, examinando a árvore de diretórios e os metadados que definem os arquivos.
foremosté
um programa de console para recuperar arquivos com base em seus cabeçalhos, rodapés e estruturas de dados internas
o que significa que ele tenta localizar e recuperar arquivos independentemente dos metadados; isso inclui arquivos que foram excluídos, mas seu conteúdo ainda não foi substituído.
Observe que o nome do desafio é "RecuperandoDo estalo".