**Challenge Forensic 100**

Pour ce challenge nous avions deux fichiers :

- win98.jpg

- win98.mp4

__Résolution__

On fait un foremost sur le fichier win98.jpg
<code>
File: win98.jpg
Num	 Name (bs=512)	       Size	 File Offset	 Comment 

0:	00000001.jpg 	       2 KB 	        856 	 
1:	00000163.jpg 	       5 KB 	      83895 	 
2:	00000000.pdf 	      81 KB 	         25 	 

3 FILES EXTRACTED
	
jpg:= 2
pdf:= 1
</code>

00000001.jpg 
{{ :ctf:2016:grehack_2k16:00000001.jpg?nolink |}}

00000163.jpg
{{ :ctf:2016:grehack_2k16:00000163.jpg?nolink |}}

En bas du fichier 00000000.pdf 

{{ :ctf:2016:grehack_2k16:pdf.png?nolink |}}

Avec toutes ces informations nous comprenons que la clé sert à ouvrir un container truecrypt.

On essaye le fichier win98.mp4 comme container avec la clé trouvé précédemment 
{{ :ctf:2016:grehack_2k16:truecrypt.png?nolink |}}

Dans le container déchiffré le flag :
{{ :ctf:2016:grehack_2k16:flag.png?nolink |}}