[BSidesSF2019]diskimage
一道磁盘取证题目,很新颖没见过,在此记录一下一些新东西
之前只知道zsteg用来看lsb隐写,这次都可以用来恢复DOS扇区数据。
虽然没有完全理解但是先记录一下。
zsteg提取数据
得到一个图像,上半部分有损坏的迹象。普通方法尝试未果,用zsteg分析
zsteg -a att.png
发现DOS扇区数据,用-e命令提取
zsteg -e "b8,rgb,lsb,xy" att.png > diskimage.dat
testdisk恢复文件
提取完数据后用testdisk进行分析diskimage.dat
testdisk diskimage.dat
一路回车
Proceed>None>Advanced>Boot>Rebuild BS>List
找到一个已删除的文件_LAG.ICO
按c复制该图片得到flag