BUUCTF Misc diskimage

[BSidesSF2019]diskimage

一道磁盘取证题目,很新颖没见过,在此记录一下一些新东西

之前只知道zsteg用来看lsb隐写,这次都可以用来恢复DOS扇区数据。

虽然没有完全理解但是先记录一下。

zsteg提取数据

得到一个图像,上半部分有损坏的迹象。普通方法尝试未果,用zsteg分析

zsteg -a att.png

image-20201012221904988

发现DOS扇区数据,用-e命令提取

zsteg -e "b8,rgb,lsb,xy" att.png > diskimage.dat

testdisk恢复文件

提取完数据后用testdisk进行分析diskimage.dat

testdisk diskimage.dat

一路回车

Proceed>None>Advanced>Boot>Rebuild BS>List

找到一个已删除的文件_LAG.ICO

image-20201012222201722

按c复制该图片得到flag

posted @ 2020-10-12 22:29  LEOGG  阅读(481)  评论(0编辑  收藏  举报