Closed m00n19 closed 2 years ago
My friend deleted important documents off of my flash drive, can you help me find them?
Note: The flag can be submitted with or without the hiphen ex. UMDCTF-{flag} or UMDCTF{}
https://drive.google.com/file/d/1VmUyHJqU11E0UE7OYTPYV3U2yVh2qL5g/view?usp=sharing
Giải nén file tải về ta được 1 file image usb.img. Đây là một dạng liên quan đến disk forensics và mình vẫn luôn sử dụng một công cụ “the first” quen thuộc là AutoPsy.
Các bạn có thể tham khảo cách mount 1 file image bằng AutoPsy ở đây : https://networkdefensesolutions.com/index.php/forensics/103-loading-images-and-file-recovery-with-autopsy-part-2
Theo phần mô tả thì một file quan trọng đã bị xoá, công việc của mình là tìm lại file đó và mình dám chắc nó sẽ liên quan đến flag cuối cùng
Sau khi upload file vào AutoPsy, chúng ta có thể thấy ngay mục Deleted Files, cùng vào lục lọi xem có gì trong đó không nhé!
Sau khi lục một vài file bị xoá, thì mình cũng tìm được flag :
UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!}
Rất may mắn vì các file bị đánh dấu đã xóa, tuy nhiên nó chưa bị ghi đè dữ liệu mới lên nên vẫn có thể phục hồi được!
Một hướng tiếp cận thêm cho bài này bằng cách sử dụng công cụ “foremost” – một chương trình khôi phục dữ liệu forensics dành cho Linux.
Mọi người có thể tìm hiểu thêm cách sử dụng tại : https://www.kali.org/tools/foremost/
Và khi mở output/png chúng ta cũng tìm thấy flag
Renzik's Case
Description
My friend deleted important documents off of my flash drive, can you help me find them?
Note: The flag can be submitted with or without the hiphen ex. UMDCTF-{flag} or UMDCTF{}
https://drive.google.com/file/d/1VmUyHJqU11E0UE7OYTPYV3U2yVh2qL5g/view?usp=sharing
Solution
Giải nén file tải về ta được 1 file image usb.img. Đây là một dạng liên quan đến disk forensics và mình vẫn luôn sử dụng một công cụ “the first” quen thuộc là AutoPsy.
Các bạn có thể tham khảo cách mount 1 file image bằng AutoPsy ở đây : https://networkdefensesolutions.com/index.php/forensics/103-loading-images-and-file-recovery-with-autopsy-part-2
Theo phần mô tả thì một file quan trọng đã bị xoá, công việc của mình là tìm lại file đó và mình dám chắc nó sẽ liên quan đến flag cuối cùng
Sau khi upload file vào AutoPsy, chúng ta có thể thấy ngay mục Deleted Files, cùng vào lục lọi xem có gì trong đó không nhé!
Sau khi lục một vài file bị xoá, thì mình cũng tìm được flag :
FLAG >>
UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!}Rất may mắn vì các file bị đánh dấu đã xóa, tuy nhiên nó chưa bị ghi đè dữ liệu mới lên nên vẫn có thể phục hồi được!
Một hướng tiếp cận thêm cho bài này bằng cách sử dụng công cụ “foremost” – một chương trình khôi phục dữ liệu forensics dành cho Linux.
Mọi người có thể tìm hiểu thêm cách sử dụng tại : https://www.kali.org/tools/foremost/
Và khi mở output/png chúng ta cũng tìm thấy flag
FLAG >>
UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!}