其他分享
首页 > 其他分享> > [BSidesSF2019]diskimage

[BSidesSF2019]diskimage

作者:互联网

[BSidesSF2019]diskimage

一道磁盘取证题目,很新颖没见过,在此记录一下一些新东西

之前只知道zsteg用来看lsb隐写,这次都可以用来恢复DOS扇区数据。

虽然没有完全理解但是先记录一下。

zsteg提取数据

得到一个图像,上半部分有损坏的迹象。普通方法尝试未果,用zsteg分析

zsteg -a att.png

image-20201012221904988

发现DOS扇区数据,用-e命令提取

zsteg -e "b8,rgb,lsb,xy" att.png > diskimage.dat

testdisk恢复文件

提取完数据后用testdisk进行分析diskimage.dat

testdisk diskimage.dat

一路回车

Proceed>None>Advanced>Boot>Rebuild BS>List

找到一个已删除的文件_LAG.ICO

image-20201012222201722

按c复制该图片得到flag

标签:lsb,zsteg,BSidesSF2019,testdisk,扇区,dat,diskimage
来源: https://www.cnblogs.com/LEOGG321/p/13806025.html