Mais où est passé mon flag ?
Dernière mise à jour
Cet article vous a-t-il été utile ?
Dernière mise à jour
Cet article vous a-t-il été utile ?
Catégorie: Forensic Difficulté: - Flag: CTFREI{F1l3_c4RviNG_15_M4giC}
Notre objectif est de récupérer un fichier supprimé d'un stockage. Il faut bien comprendre que quand on supprime un fichier, ses données ne sont pas effacées, c'est sa référence qui est simplement retirée. Donc tant qu'aucun autre fichier est écrit au même endroit que notre fichier supprimé, techniquement, il est toujours là.
Pour ça on doit faire ce qu'on appelle du "carving", c'est-à-dire qu'on va parcourir tout le stockage à la recherche de signature trahisse la présence d'un fichier et ensuite essayer de le récupérer entièrement.
Un des outils incontournable est . On commence par créer un "case" :
Ensuite Generate new host name > Disk image et on sélectionne notre disk.img. Maintenant, il faut aller chercher dans les fichiers supprimés :
