Challenge Forensic 100

Pour ce challenge nous avions deux fichiers :

- win98.jpg

- win98.mp4

Résolution

On fait un foremost sur le fichier win98.jpg

File: win98.jpg
Num	 Name (bs=512)	       Size	 File Offset	 Comment 

0:	00000001.jpg 	       2 KB 	        856 	 
1:	00000163.jpg 	       5 KB 	      83895 	 
2:	00000000.pdf 	      81 KB 	         25 	 

3 FILES EXTRACTED
	
jpg:= 2
pdf:= 1

00000001.jpg

00000163.jpg

En bas du fichier 00000000.pdf

Avec toutes ces informations nous comprenons que la clé sert à ouvrir un container truecrypt.

On essaye le fichier win98.mp4 comme container avec la clé trouvé précédemment

Dans le container déchiffré le flag :