Mais où est passé mon flag ?

Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3_c4RviNG_15_M4giC}

Challenge

178KB
mais_ou_est_passe_mon_flag.zip
archive

Description

J'ai supprimé mon flag de ma clé USB sans le vouloir...

Tu penses pouvoir le retrouver ?

Solution

Notre objectif est de récupérer un fichier supprimé d'un stockage. Il faut bien comprendre que quand on supprime un fichier, ses données ne sont pas effacées, c'est sa référence qui est simplement retirée. Donc tant qu'aucun autre fichier est écrit au même endroit que notre fichier supprimé, techniquement, il est toujours là.

Pour ça on doit faire ce qu'on appelle du "carving", c'est-à-dire qu'on va parcourir tout le stockage à la recherche de signature trahisse la présence d'un fichier et ensuite essayer de le récupérer entièrement.

Un des outils incontournable est Autopsy. On commence par créer un "case" :

Ensuite Generate new host name > Disk image et on sélectionne notre disk.img. Maintenant, il faut aller chercher dans les fichiers supprimés :

PrécédentMais qui est le photographe ?SuivantMémoire 1/4

Dernière mise à jour

Cet article vous a-t-il été utile ?