WriteUp--------你知道他是谁吗？(实验吧）

1.首先是题目要求

2.打开链接后是一个压缩文件




3.这个压缩文件的名字叫NF，这时候我们可能不会多想，就直接去解压这个文件（我当时也是这么做的）




4.压缩发现是一张人物照片，根据题目，我就用百度搜图查了这个人，叫托马斯·杰斐逊
<http://baike.baidu.com/item/%E6%89%98%E9%A9%AC%E6%96%AF%C2%B7%E6%9D%B0%E6%96%90%E9%80%8A/729041>
 ，搜索他后并没有获得多少有用的信息


5.这时，我看到了提示NTFS数据流（https://baike.baidu.com/item/ntfs%E6%95%B0%E6%8D%AE%E6%B5%81/1885985?fr=aladdin）所以我就了解了关于NTFS数据流的知识。(其实根据NF，windows的提示也可以想到，可我并没有这方面的知识所以没想到）

6.根据百度百科，我下载了lads.exe(扫描当前目录下的数据流文件) 和 ntfsstreamseditor.exe(处理NTFS数据流的软件)

7.先使用lads.exe,这需要在命令提示符
<https://baike.baidu.com/item/%E5%91%BD%E4%BB%A4%E6%8F%90%E7%A4%BA%E7%AC%A6>
下运行，进入lads.exe所在目录，然后输入lads.exe  查看文件所在路径。

F:\工具包\CTFToolkit-v1.1\NTFS数据流分析>


F:\工具包\CTFToolkit-v1.1\NTFS数据流分析>lads.exe D:\MAKESI\TIMU


8.然后得到这样的结果，然后就是进行数据流分析




9.打开ntfsstreamseditor.exe，然后扫描你lads.exe所在的根目录，然后发现一个叫flag的数据流文件，把它导出。

10.将导出的数据流文件，用记事本打开，出现这样的文本




11.分析文本，发现密钥和上面字符串数量相同而且都是1-14，那么这个顺序是不是字符串排列的顺序呢？同时又发现密文也是14个。所以将字符串排序，将密钥圈出来




12.然后将红字以左的字符串，移到最右得到FLAG（两边的括号暗示着左移，至于怎么移是试出来的）

• « 上一篇：js前端获取GUID （全球唯一标识符）
• » 下一篇：对云计算，大数据和人工智能的浅谈（一）