我正在做picoCTF 挑战其中包括从文件中获取标志.dd。该.dd文件最初看起来是FAT包含一些jpg文件的分区。
我的想法是使用 装载文件mount并检查结果文件。结果我得到了四个文件,其中没有一个是旗帜,只是动物的图片。
解决方案是一个名为最重要的,当我在文件上使用它时,它提取了八个文件而不是四个。其中一个文件是旗帜,另外七个是动物。
这些工具有何不同?是否忽略了文件中可提取的mount信息片段?.ddforemost
答案1
mount通过检查目录树和定义文件的元数据,挂载文件系统并让您以文件系统提供的通常方式访问文件。
foremost是
一个控制台程序,用于根据文件的页眉、页脚和内部数据结构恢复文件
这意味着它会尝试定位和检索文件,而不管元数据如何;这包括已被删除但其内容尚未覆盖的文件。
注意挑战名称是“恢复来自 Snap”。