STMCTF'20 Write-Up Forensics Recover Me

Selamlar, bu yazımda STMCTF’20 yarışmasında sorulan Forensics kategorisinden Recover Me isimli sorunun çözümünü anlatacağım.

Soru dosyası : BadDisk.rar

Soruda BadDisk isminde bir rar dosyası verilmiş. Rar dosyasını açtığımızda karşımıza 001 uzantılı imaj dosyası çıkıyor.

RecoverMe.001 dosyasını Autopsy aracıyla incelediğimizde içinde PDF streamlerinin olduğunu görüyoruz.

Dosyanın adından da anlaşılabileceği gibi File Carving işlemi ile tahminen PDF uzantılı dosya recover etmemiz gerekiyor. Foremost isimli araç ile file carving işlemini gerçekleştirelim.

File carving sonucunda 1 PDF ve 1 JPG dosyası extract edildiğini görüyoruz. PDF dosyasını açtığımızda flag değerimizi elde etmiş oluyoruz.

STMCTF{Top_Secret_File}

Yazımı okuduğunuz için teşekkürler, bir başka yazıda görüşmek dileğiyle..