BUUCTF的Misc,看到题目觉得是个镜像取证类的东西,然而下载下来附件是个png图片,
先图片分析一下,stegsolve没看到什么东西。感觉上面的一段东西可能是像素分析,还没学会MIsc中图片像素的处理,然后就去zsteg中跑一下,-a参数出来的东西一大堆:
这里开始不知道如何分析,后来学到zsteg的 -e参数:
这里的文件名称需要用单引号包裹,双引号会报错:
然后就是对这个数据包dat文件进行分析了,我是先试了试winhex的法证版,然后文件恢复没恢复出来,然后用winimage软件打开:
看到好多图标:
保存出来看一下,有无有用信息,然而并没有,网上的师傅们用的都是Testdisk的一款免费数据恢复软件,去下了Windows的,发现打开是命令行模式,不是太会用,然后就又去安装在Ubuntu上了:
安装命令:sudo apt install testdisk
然后使用:
需要切换到root权限,这里:
回车后切换到:
这里None回车
这里开始选的Analyse模式,发现不太行,用Advanced
回车开始分析后先显示文件系统格式,然后就可能有警告,然后接着回车就可以list出来所有的文件:
开始觉得和我winimage分析的不差不带嘛,还是一堆ICO,然后按住方向键往下挨个看:
注意这里的光标是白色的,红色不是光标停在了上面。
根据下面用法的说明,C然后把它保存到当前文件夹中: