我正在嘗試解決 Google CTF 2019 初學者任務中的任務。任務中有一個 NTFS 檔。我知道該文件有一個備用資料流(提示提到了擴展屬性)。
我不知道如何在Linux終端機中存取AD。我使用了多種工具和關鍵字,但我無法透露廣告,更不用說訪問它們了。
答案1
在 Windows 術語中,dir /r不顯示擴充屬性;表明備用資料流。 (雖然 EA 存在於 Windows 中,但它們大多被視為 OS/2 的遺物。)
不要使用 7zip 等隨機工具擷取檔案系統的內容。這將丟失大多數元資料(包括 EA 和 ADS),因為這些工具不理解它和/或不關心它。您需要在檔案仍在原始 NTFS 檔案系統映像內時檢查該檔案。
您可以使用 ntfs-progs 檢查影像的內容:
ntfsls -l <image> ntfsinfo -F <path> <image>您可以使用 NTFS-3G 掛載映像
streams_interface=xattr,然後只需查詢 xattr 清單(在此模式下,每個 NTFS 流都顯示為 Linux xattr):attr -l <path> getfattr <path>您可以使用 NTFS-3G 掛載映像
streams_interface=windows,然後查詢虛擬「ntfs.streams.list」xattr:attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>