[BSidesSF2019]diskimage

一道磁盘取证题目，很新颖没见过，在此记录一下一些新东西

之前只知道zsteg用来看lsb隐写，这次都可以用来恢复DOS扇区数据。

虽然没有完全理解但是先记录一下。

zsteg提取数据

得到一个图像，上半部分有损坏的迹象。普通方法尝试未果，用zsteg分析

zsteg -a att.png

发现DOS扇区数据，用-e命令提取

zsteg -e "b8,rgb,lsb,xy" att.png > diskimage.dat

testdisk恢复文件

提取完数据后用testdisk进行分析diskimage.dat

testdisk diskimage.dat

一路回车

Proceed>None>Advanced>Boot>Rebuild BS>List

找到一个已删除的文件_LAG.ICO

按c复制该图片得到flag