**Challenge Forensic 100** Pour ce challenge nous avions deux fichiers : - win98.jpg - win98.mp4 __Résolution__ On fait un foremost sur le fichier win98.jpg File: win98.jpg Num Name (bs=512) Size File Offset Comment 0: 00000001.jpg 2 KB 856 1: 00000163.jpg 5 KB 83895 2: 00000000.pdf 81 KB 25 3 FILES EXTRACTED jpg:= 2 pdf:= 1 00000001.jpg {{ :ctf:2016:grehack_2k16:00000001.jpg?nolink |}} 00000163.jpg {{ :ctf:2016:grehack_2k16:00000163.jpg?nolink |}} En bas du fichier 00000000.pdf {{ :ctf:2016:grehack_2k16:pdf.png?nolink |}} Avec toutes ces informations nous comprenons que la clé sert à ouvrir un container truecrypt. On essaye le fichier win98.mp4 comme container avec la clé trouvé précédemment {{ :ctf:2016:grehack_2k16:truecrypt.png?nolink |}} Dans le container déchiffré le flag : {{ :ctf:2016:grehack_2k16:flag.png?nolink |}}