Estou tentando resolver uma tarefa na missão para iniciantes do Google CTF 2019. Há um arquivo NTFS na tarefa. Eu sei que o arquivo tem um fluxo de dados alternativo (a dica menciona atributos estendidos).
Não sei como acessar ADs no terminal Linux. Usei diversas ferramentas e palavras-chave mas não consegui revelar os ADs e muito menos acessá-los.
Responder1
Em termos do Windows, dir /rnão mostra atributos estendidos; isto mostraFluxos de dados alternativos. (Embora existam EAs no Windows, eles são tratados principalmente como uma relíquia do OS/2.)
Nãoextraia o conteúdo do sistema de arquivos usando ferramentas aleatórias como 7zip. Isso perderá a maior parte dos metadados (incluindo EAs e ADSs), pois essas ferramentas não os entendem e/ou não se importam com isso. Você precisa inspecionar o arquivo enquanto ele ainda está dentro da imagem original do sistema de arquivos NTFS.
Você pode usar ntfs-progs para inspecionar o conteúdo da imagem:
ntfsls -l <image> ntfsinfo -F <path> <image>Você pode montar a imagem usando NTFS-3G com
streams_interface=xattr, depois basta consultar a lista de xattrs (neste modo, cada fluxo NTFS é mostrado como um xattr do Linux):attr -l <path> getfattr <path>Você pode montar a imagem usando NTFS-3G com e
streams_interface=windows, em seguida, consultar o xattr virtual "ntfs.streams.list":attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>