WriteUp--------你知道他是谁吗?(实验吧)
1.首先是题目要求
2.打开链接后是一个压缩文件
3.这个压缩文件的名字叫NF,这时候我们可能不会多想,就直接去解压这个文件(我当时也是这么做的)
4.压缩发现是一张人物照片,根据题目,我就用百度搜图查了这个人,叫托马斯·杰斐逊 ,搜索他后并没有获得多少有用的信息
5.这时,我看到了提示NTFS数据流(https://baike.baidu.com/item/ntfs%E6%95%B0%E6%8D%AE%E6%B5%81/1885985?fr=aladdin)所以我就了解了关于NTFS数据流的知识。(其实根据NF,windows的提示也可以想到,可我并没有这方面的知识所以没想到)
6.根据百度百科,我下载了lads.exe(扫描当前目录下的数据流文件) 和 ntfsstreamseditor.exe(处理NTFS数据流的软件)
7.先使用lads.exe,这需要在命令提示符下运行,进入lads.exe所在目录,然后输入lads.exe 查看文件所在路径。
F:\工具包\CTFToolkit-v1.1\NTFS数据流分析>
F:\工具包\CTFToolkit-v1.1\NTFS数据流分析>lads.exe D:\MAKESI\TIMU
8.然后得到这样的结果,然后就是进行数据流分析
9.打开ntfsstreamseditor.exe,然后扫描你lads.exe所在的根目录,然后发现一个叫flag的数据流文件,把它导出。
10.将导出的数据流文件,用记事本打开,出现这样的文本
11.分析文本,发现**和上面字符串数量相同而且都是1-14,那么这个顺序是不是字符串排列的顺序呢?同时又发现密文也是14个。所以将字符串排序,将**圈出来
12.然后将红字以左的字符串,移到最右得到FLAG(两边的括号暗示着左移,至于怎么移是试出来的)