Image disque (.img) corrompue | Doit extraire un certain fichier [Résolu/Fermé]

Question

Posez votre question Signaler

Image disque (.img) corrompue | Doit extraire un certain fichier [Résolu/Fermé]

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 16:41 - Dernière réponse : eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 18:32

Ubuntu Posez votre question Signaler

Bonjour/Bonsoir,

Dans le cadre d'un mini CTF 'Capture The Flag' organisé par un groupe d'amis, on nous propose certaines épreuves allant de la simple lecture d'un fichier binary à des procédures bien plus compliquées afin de gagner des points faisant monter notre équipe, le tout se déroulant sur une semaine.

Malheureusement, je suis bloqué à une certaine épreuve, et pas moyen de m'en sortir :@

On me donne un fichier 'monfichier.img' qui contient l'indice me permettant d'accéder à l'épreuve suivante. J'ai donc essayé de trouver le système de fichiers de ce fichier à l'aide d'un

file monfichier.img

Ce qui me rend en sortie

monfichier.img : data

donc pas moyen de trouver comment je suis censé monter l'image. (J'ai quand même essayé avec tous les types connus mais aucun ne fonctionne).

Je suis donc passé à un scan avec Autopsy mais il ne parvient pas à détecter le système de fichiers non plus, donc aucun résultat de ce côté là non plus.

Si vous connaissez quelques techniques qui pourraient m'aider à résoudre cette énigme, je suis preneur !

Si vous avez envie de vous y essayer je peux également vous fournir le fichier en question par MP, en sachant bien que vous ne pourrez pas participer à la suite étant donné que vous n'êtes pas inscrit.

Merci par avance ! :)

Afficher la suite

A voir également:

2 réponses

Signaler

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

246 26 oct. 2015 à 17:32

0

Merci

Merci pour toutes vos réponses !

Malgré tout, les différentes alternatives soumises ne me donnent rien de particulier.

Je comptais justement passer à l'hexa.

Je vous tiens au courant, merci encore !

Afficher les 8 commentaires

Signaler

zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

4268 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 18:12

As-tu essayé avec disktype ?

$ disktype boot.img

--- boot.img
Regular file, size 239 MiB (250609664 bytes)
FAT16 file system (hints score 5 of 5)
  Volume size 238.8 MiB (250347520 bytes, 61120 clusters of 4 KiB)
  Volume name "Debian Inst"


$ disktype installer.img

--- installer.img
Regular file, size 73.24 MiB (76800000 bytes)
DOS/MBR partition map
Partition 1: 70 MiB (73400320 bytes, 143360 sectors from 4096)
  Type 0x0C (Win95 FAT32 (LBA))
  FAT32 file system (hints score 5 of 5)
    Volume size 68.91 MiB (72254464 bytes, 141122 clusters of 512 bytes)
    Volume name "

Signaler

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

246 - 26 oct. 2015 à 18:15

Et avec le dd :

~/Downloads# dd if=monfichier.img | file -
/dev/stdin: data

Signaler

zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

4268 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 18:22

Toujours extrait de du même thread (suite à la même sortie que toi) :

dd if=monfichier.img | strings | head -20

Signaler

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

246 > zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

- 26 oct. 2015 à 18:26

Il me sort de l'ASCII qui ne me donne pas grand chose non plus ><

~/Downloads# dd if=monfichier.img | strings | head -20
46 KN
~Q4C
OWs}h
=T	^
8"<v
.4TSH
YP1/
v",:l
]M	(
B~(}
e;Pu
OZmTO
2w*!b
1NUI,B
~%r[
f^PA/F#
qb`	0
mq5l
Q6gH
@QfoK

Signaler

zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

4268 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 18:30

J'ai mis

head -20

, essaie de voir avec une valeur plus grande... ou avec

less

carrément ;-\

Signaler

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

246 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 18:32

STOOOOP, j'ai trouvé, j'ai fait une seconde recherche avec hexedit. Je cherchais un lien du type '.htm' Mais le fourbe avait mis des caractères random entre chaque caractère, du coup impossible de trouver avec un ctrl+S

Un grand merci en tout cas, zipe31 et tous les autres, vraiment sympathique ! :)

Posez votre question

Bon, apparemment après une fouille appronfondie ligne par ligne, rien qui ne ressort du reste ... Je suis bien embêté :/
As-tu essayé avec disktype ?
$ disktype boot.img

--- boot.img
Regular file, size 239 MiB (250609664 bytes)
FAT16 file system (hints score 5 of 5)
Volume size 238.8 MiB (250347520 bytes, 61120 clusters of 4 KiB)
Volume name "Debian Inst"

$ disktype installer.img

--- installer.img
Regular file, size 73.24 MiB (76800000 bytes)
DOS/MBR partition map
Partition 1: 70 MiB (73400320 bytes, 143360 sectors from 4096)
Type 0x0C (Win95 FAT32 (LBA))
FAT32 file system (hints score 5 of 5)
Volume size 68.91 MiB (72254464 bytes, 141122 clusters of 512 bytes)
Volume name "
Oui, mais rien de 'relevant'

~/Downloads# disktype monfichier.img

--- monfichier.img
Regular file, size 1.000 MiB (1048623 bytes)

(Et rien après)
Et avec le dd :

~/Downloads# dd if=monfichier.img | file -
/dev/stdin: data
Toujours extrait de du même thread (suite à la même sortie que toi) :
dd if=monfichier.img | strings | head -20
Il me sort de l'ASCII qui ne me donne pas grand chose non plus ><

~/Downloads# dd if=monfichier.img | strings | head -20
46 KN
~Q4C
OWs}h
=T ^
8"<v
.4TSH
YP1/
v",:l
]M (
B~(}
e;Pu
OZmTO
2w*!b
1NUI,B
~%r[
f^PA/F#
qb` 0
mq5l
Q6gH
@QfoK
J'ai mis
head -20
, essaie de voir avec une valeur plus grande... ou avec
less
carrément ;-\
STOOOOP, j'ai trouvé, j'ai fait une seconde recherche avec hexedit. Je cherchais un lien du type '.htm' Mais le fourbe avait mis des caractères random entre chaque caractère, du coup impossible de trouver avec un ctrl+S

Un grand merci en tout cas, zipe31 et tous les autres, vraiment sympathique ! :)

zipe31 · Accepted Answer · 2015-10-26T16:53:23+0100

Meilleure réponse

Signaler

zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

4268 26 oct. 2015 à 16:53

1

Merci

Salut,

Essaye un

fdisk -lu  monfichier.img

Dire « Merci » 1

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 62803 internautes nous ont dit merci ce mois-ci

Signaler

eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

246 - Modifié par eeee4444 le 26/10/2015 à 17:01

Salut, Merci de ta réponse rapide :)

Malheureusement (et j'ai oublié de préciser) j'avais déjà tenté ça aussi.

Et ça ne semble pas beaucoup m'aider :(

Disk disk1.img: 1 MB, 1048576 bytes
255 heads, 63 sectors/track, 0 cylinders, total 2048 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x9e6b8265

Disk disk1.img doesn't contain a valid partition table

Signaler

jns55 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 17:20

Bonjour,
La table des partitions a été altérée volontairement...
Et si tu utilisais testdisk pour réparer la table des partitions ?

Signaler

zipe31

Messages postés: 37570
Date d'inscription: dimanche 7 novembre 2010
Statut: Contributeur
Dernière intervention: 7 décembre 2019

4268 > eeee4444

Messages postés: 434
Date d'inscription: mardi 4 janvier 2011
Statut: Membre
Dernière intervention: 12 février 2016

- 26 oct. 2015 à 17:21

Sans conviction essaye un

blkid monfichier.img

ou encore un

dd if=monfichier.img | file -

Tu peux aussi essayer avec

disktype

Source

Signaler

Flachy Joe

Messages postés: 2120
Date d'inscription: jeudi 16 septembre 2004
Statut: Membre
Dernière intervention: 4 novembre 2019

219 - 26 oct. 2015 à 17:21

Ton image est peut-être chiffré, c'est peut être un volume truecrypt par exemple. Auquel cas il te faudrait trouver le mot-de-passe.

As-tu essayé de l'ouvrir avec un éditeur hexadécimal ? Les informations recherchée sont peut -être juste noyées dans des données aléatoires.

Image disque (.img) corrompue | Doit extraire un certain fichier [Résolu/Fermé]

2 réponses

Votre réponse

PeaZip

Foobar2000

AdwCleaner

Artweaver

Atlantis

Molotov

CPU-Z

TweakPower