CSAW CTF Write-up forensics 1 à 4
Les épreuves de forensics données au CSAW CTF n’étaient pas vraiment ce à quoi je m’attendais, mais on a quand même réussi à en résoudre la plupart. Les challenges ont été confectionnés par Efstratios Gavas (@xtrat), Directeur du Laboratoire de cyber-sécurité à l’Université Polytechnique de New York ! Rien que ça :)
(Lire la suite…)
Compte-rendu du concours d’analyse forensique de RootBSD
Samedi, RootBSD (@r00tbsd #hackbbs) a organisé un concours d’analyse forensique. Pour cette première édition (on espère qu’il y en aura d’autres) peu diffusée, environ 30 personnes ont participé. Ce cher sh4ka, membre Nibbles, a rapidement pris la première place à peine deux heures après le début du concours, et a donc gagné le t-shirt de son choix sur getdigital.de. Bravo sh4ka ! J’ai fait le challenge avec deux amis – 0vercl0k et thaw – et nous avons remporté la deuxième place quelques minutes après sh4ka. Le challenge était intéressant, voici donc un compte-rendu détaillé pour chacun des 10 flags qu’il fallait trouver. D’autres participants ont fait des comptes-rendu, notamment m_101 et tryks, les deux en français aussi.
Challenge forensics #3 de la Nuit du Hack, les Alternate Data Stream NTFS
Samedi dernier c’était la Nuit du hack à Paris, « une des plus anciennes conférences de hacking underground francophone » initiée en 2003 par l’équipe Hackerz Voice. En plus des conférences, il y avait des challenges dans le même esprit que la DefCon. Pour des retours sur la conférence et les challenges, je vous invite à consulter les blogs de trance, t0ka7a, Nico, Silkcut ou m_101. Les slides des présentations sont désormais disponibles !
Dans cet article je vous propose une solution au challenge d’inforensique n°3 conçu par sh4ka. Le challenge commence par une partie analyse de système de fichiers NTFS, puis récupération de fichier supprimé, extraction d’une archive RAR protégée par mot de passe à casser, et enfin le plus intéressant : découvrir des informations cachées dans les Alternate Data Stream NTFS.
