**Forensic 150 : USB probing**

Énoncé
<code>
One of our agents managed to sniff important piece of data transferred transmitted via USB, he told us that this pcap file contains all what we need to recover the data can you find it ?
</code>

Nous avions à notre disposition une capture réseau fore2.pcap. 

La capture réseau contient un échange de fichier par l'USB. Il faut l'ouvrir avec Wireshark.

En triant les paquets par taille :

{{ :ctf:2017:alexctf:paquet101.png?nolink |}}

Lorsque on détail le paquet 101 , dans le champs "Leftover Capture Data" on aperçoit l’entête hexadécimal : PNG

{{ :ctf:2017:alexctf:leftover.png?nolink |}}

clique droit sur le champs "Leftover Capture data"

copy => hex stream

Dans notre shell on créé un fichier vide :

<code>touch flag_150.png</code>

On l'ouvre avec un éditeur hexadécimal :

<code>hexedit flag.png</code>

On copie colle le contenu de notre hex stream  dedans.

On ouvre notre image :
{{ :ctf:2017:alexctf:flag_150.png?nolink |}}