第一次尝试forensic的题目

Posted by rk700 on December 15, 2014

话说最近在做的ksnctf里面的题目种类还真是丰富啊,今天遇到一道forensic的题目,也是第一次做这类题。

题目给了一个img文件。我最开始是直接用mount挂载,发现有3个jpg文件,但分析不出来这些图片有没有隐写。

后来在网上搜了下,这道提不是stegano,而是forensic。按照推荐,我安装了autospy,它还需要Sleuth Kit。

安装玩autospy后,启动会得到一个地址http://localhost:9999/autopsy,访问就进到autospy的界面。我创建了一个测试用的case,打开img文件,这下就可以看到很多内容,而不仅仅是之前得到的3副图片。

具体地,有一些文件是处于”Deleted File Recovery Mode”,包括一个Liberty Leading the People.jpg文件。此外,还有从Liberty Leading the People.jpg:00Liberty Leading the People.jpg:06,而这些每个的内容都是3个字符,而从前几个看到了FLAG_。于是将其拼起来,就得到了flag。