AF-2DFB-AR · Arşiv / Dosya
Arşivde Gizli Yorum
İNDİRİLEBİLİR gerçek ZIP. Gerçek kanıt ZIP arşiv-yorumu (EOCD comment) alanında gizlidir; içerideki notes.txt'in 'ref' bayrağı tuzaktır.
Senaryo
Gerçek bir ZIP arşivi. Şüpheli, veriyi ZIP'in arşiv-yorumu (archive comment) alanına gizledi; bu alan araçların listelemede sık kaçırdığı yerdir (unzip -z / zipinfo gösterir). Arşivin içindeki notes.txt'te makul ama zararsız bir 'ref' bayrağı (arşiv etiketi) vardır = tuzak. Yoruma gizlenmiş gerçek bayrağı ve gizleme yerini bul; notes.txt tuzağını raporlama.
Anti-forensics teknikleri
- ZIP arşiv-yorumu (EOCD) gizleme
- İçeride görünür sahte 'ref' (red herring)
Sağlanan artefaktlar
- ZIP arşivi (gizli arşiv-yorumu)
Örnek sorular
- q1: ZIP arşiv-yorumuna gizlenmiş bayrak nedir?
- q2: Veri ZIP'in neresine gizlendi? (örn. archive comment)
- trap1: notes.txt içindeki 'ref' bayrağını kanıt diye raporlama.
Soundness tuzağı
notes.txt'teki 'ref' zararsız bir arşiv etiketidir; kanıt diye raporlamak ağır ceza. Gerçek kanıt arşiv-yorumundadır.
Puanlama
Arşiv-yorumu çıkarma + içerik-tuzağı direnci (soundness).
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.