search

Alternating

Catégorie: Forensic Difficulté: Facile Flag: ctf{7ce5567830a2f9f8ce8a7e39856adfe5208242f6bce01ca9af1a230637d65a2d}

hashtag
Challenge

file-download
194B
Flag.rar
arrow-up-right-from-squareOuvrir
circle-info

hashtag
Description

We have hidden something in the file and I'm sure you won't find it. Make sure to extract the archive using WinRar. Windows is your friend.

hashtag
Solution

On peut utiliser WinRAR pour lister les fichiers présents dans l'archive 

>unrar vta Flag.rar

UNRAR 7.00 x64 Freeware      Copyright (c) 1993-2024 Alexander Roshal

Archive: Flag.rar
Détails: RAR 5

         Nom: Flag.txt.txt
        Type: Fichier
      Taille: 0
Taille compressée: 0
        Taux: 0%
     Modifié: 2024-02-27 12:46:19,640340000
   Attributs: ..A....
       CRC32: 00000000
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m0 -md=128k

         Nom: STM
        Type: Flux de données de remplacement NTFS
       Cible: :real_flag.txt
      Taille: 74
Taille compressée: 75
        Taux: 101%
   Attributs: .B
       CRC32: 1C0A72C4
Système d'exploitation hôte: Windows
 Compression: RAR 5.0(v50) -m3 -md=128k

     Service: EOF

On voit 2 fichiers, l'un est classique mais vide, l'autre est un flux de données associé au premier. C'est ce qu'on appelle les ADS (Alternate Data Streams) et c'est une façon pour Windows d'ajouter des informations liées à un fichier dans une autre zone pour ne pas modifier son contenu.

Il est possible de voir ça, après une extraction classique, avec la commande

Pour afficher ce flux alternatif, on peut passer par PowerShell

Précédenti-got-a-virusSuivantcall-me-pliz

Mis à jour