Desafío CTF Archivo Eliminado Root-Me Forense descripción breve Punto 5 Dificultad Validación 11471 tasa de éxito 4 por ciento checksum SHA256 cd9f4ada5e2a97ec6def6555476524712760e3d8ee99c26ec2f11682a1194778 archivo proporcionado ch39.gz

Paso 1 comprensión del reto Este reto forense requiere recuperar un archivo eliminado de una imagen de unidad USB y extraer metadatos que identifiquen al propietario. El formato del flag es firstname_lastname.

Paso 2 extracción del archivo de entrada El archivo entregado es un gzip llamado ch39.gz que contiene un tar. Comandos de ejemplo para extraerlo gunzip ch39.gz tar -xvf ch39 Esto revela usb.image que es una imagen de sistema de archivos FAT16 con etiqueta USB y tamaño aproximado 32 MB.

Paso 3 análisis del sistema de archivos Al montar la imagen con mount -t vfat -o loop usb.image /tmp/usb_mount el directorio raíz aparece vacío indicando que el archivo fue eliminado y no visible por el sistema de archivos estándar.

Paso 4 localizar la entrada de directorio eliminada En FAT16 las entradas de archivos eliminados tienen el primer byte 0xE5. La tabla del directorio raíz empieza en un sector determinado según el volumen. Ejemplos de extracción del directorio raíz dd if=usb.image bs=512 skip=132 count=32 of=rootdir.bin hexdump -C rootdir.bin El hexdump revela una entrada marcada como eliminada con nombre corto NONUMEPNG y nombre largo anonymouspng tamaño 246320 bytes y cluster inicial 3.

Paso 5 extraer los datos del archivo eliminado El área de datos comienza en un sector concreto y el cluster 3 se ubica calculando offset de acuerdo a la estructura FAT16. Extracción con dd dd if=usb.image bs=512 skip=168 count=482 of=anonymous.png Verificación file anonymous.png indica PNG image data 400 x 300 8 bit RGB no interlaced

Paso 6 análisis del PNG recuperado El PNG contiene metadatos XMP que pueden consultarse con strings strings anonymous.png | sed -n /xpacket begin/,/xpacket end/p El bloque XMP contiene el campo creator identificando al autor como Javier Turcot lo que nos permite determinar la identidad del propietario.

Paso 7 determinar el flag y conclusiones La identidad del propietario según los metadatos es Javier Turcot por tanto el flag en formato firstname_lastname es javier_turcot. Lecciones aprendidas estructura FAT16 sectores boot tablas FAT directorio raíz y área de datos marca 0xE5 para archivos eliminados y que los datos permanecen hasta ser sobrescritos. Para estas labores se utilizan herramientas básicas de Unix como dd hexdump file strings y utilidades de compresión gunzip y tar. Si su empresa necesita soporte profesional en recuperación forense o en pruebas de intrusión podemos ayudarle con servicios especializados como análisis forense y pentesting visite nuestra sección de Servicios de ciberseguridad y pentesting.

Sobre Q2BSTUDIO Q2BSTUDIO es una empresa de desarrollo de software y soluciones digitales especializada en aplicaciones a medida y software a medida con enfoque en inteligencia artificial ciberseguridad y servicios cloud aws y azure También ofrecemos servicios de inteligencia de negocio ia para empresas agentes IA y Power BI integrados en proyectos a medida. Si busca construir una aplicación robusta o trasladar cargas de trabajo a la nube puede conocer nuestro enfoque en desarrollo de aplicaciones y software a medida y cómo combinamos inteligencia artificial y ciberseguridad para entregar soluciones seguras y escalables.

Herramientas citadas gunzip tar mount dd hexdump file strings sed aprendizajes claves técnicas forenses recuperación de archivos eliminados análisis de metadatos XMP y verificación de integridad de archivos.

Flag javier_turcot