ChogeLog

主にセキュリティ関係の記録やWrite-up。たまーに日記も。

#18 USB flash drive (write-up)

問題

ksnctf.sweetduet.info

zipファイルが用意されている。
その中にはdrive.imgというイメージファイルがある。

解法

とりあえずfileコマンドで確認。

中身もイメージファイルっぽい。
イメージファイルなのでフォレンジック問題か?と思いつつ、とりあえずVolatilityでOSプロファイルを確認してみる。

OSの種類は分からず。問題名の通り、USBにバックアップされたイメージファイルか?
次にAutopsyで分析してみる。すると画像が複数枚見つかり、その内の1枚が以下のような画像だった。

ちなみにこれは削除された画像。ヒントも書かれている。
次に削除されたほかのファイルを確認してみると…

フラグが分割されて記述されていた。
これを繋げるとフラグを獲得。

別の方法

コマンド操作で完結したい場合、まずはThe Sleuth Kitのflsコマンドを実行。

inodeが36-128-*の削除されたファイルが怪しい。
icatコマンドで36-128-1を復元すると先ほどの画像を確認できる。
36-128-436-128-10のファイルを復元し、中身を確認するとフラグを獲得できる。

所感

フォレンジックツールを知ってれば一瞬で解ける問題。 。