# DFIR

## My Structure

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FzriA10iwIbB6Vkjz56sQ%2FScreenshot_1.png?alt=media\&token=91125082-3ef0-41af-b014-8a89ceb4d829)

ننزل الملف ونفحصه 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FcKAQbMIHWnx4xtdlYujM%2FScreenshot_2.png?alt=media\&token=18a050f2-5dbb-4589-ae39-ba7293ebbc9b)

لما جينا نتأكد من نوع الملف اكتشفنا انه ملف ل مايكروسوفت وورد \
نغير صيغه الملف وننقله للويندوز

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FZdwTAf1mbSQXWGbycJmc%2FScreenshot_3.png?alt=media\&token=e1b4397f-216e-42ca-b5bf-2415d436fe50) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FK7JejLd2SsLsPAR6lwOZ%2FScreenshot_4.png?alt=media\&token=1f3dcbc4-85ac-4eaf-b229-ecdcf6a696b8)

نلاحظ ان الملف فاضي لكن لو حددنا عالصفحه بنلاحظ الفلاق 

## Very Clear 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FnORUwVKvawAMPGyw7151%2FScreenshot_1.png?alt=media\&token=88a725c3-57e3-4520-8c60-d5b923497287)

نبدأ ننزل الملف ونفحصه كالعاده 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fhvbs9oiXUJ2YO569ILnT%2FScreenshot_7.png?alt=media\&token=805737c7-5f72-40b7-bf75-72bdece057f1)

تأكدنا من ان الملف عباره عن صوره \
طبعا ممكن نجرب ادوات Stego كثير ولكن الحل كان عباره عن base strings\
نبدأ نستخدم strings

```
┌──(f4h3d㉿kali)-[~/CTF/fares/DFIR/very_clear]
└─$ strings -n 15 for.jpg                       
 2011 / Copyrighted by Boxist.com / Sam Mugraby
Copyrighted by Boxist.com
2021:03:13 20:13:59
2021:03:13 20:13:59
[<Snip>]                                                                                         
                                 <?xpacket end='w'?>
4:GIiiiiiiiiiiiiih
RZZZZZZZZZZXXXXXXZ*KEIh
:KH----,,,,-,--
*EIiiiiiiiiiiii
:KKGIiiiiiiiiiiiiiiiii
ZZZZXXZZZZXXXXZXX*EH
,,,,,,,,,,,,,,8g
aaaaac,,,------ 
aaaaaaaaaaaaaiiaii
ZZZZZZXXXXZZZZZZZZZ[
4ZZZZXXXZZZXXXXXZZ[
j_ar...////../...../../..%
--------,,,,,,---------------,---- 
........//.././/./////8
\\\^^\\\\\\\\^q
------------,,,,8e
I............./$
/.////............/7
yyyyyyqyyyqqyqyyyx
LLLLLLLLLLB))))
r,,,,,,,,,,,,--,,,,6
ZZZZZZXZZZZZZZZZZXZXXZZZXZZZZA
Aiiiiiiiaj------ 
\\Iqqqqqyyqyqqqqqqqqqqqq$
\Iqqqqqqqqqqqqqqqqqqyyqp
Bf2f	hK		a~YK)bi
666666666666\6R
7JJ3vECwjoB5CnMVabLj4d9PAWvPv

```

اغلب السترنقز كانت طبيعيه عدى الاخيره ف نجرب موقع cyberchef

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fj0jU3Blu46JVnrmD1Nmy%2FScreenshot_4.png?alt=media\&token=5e185059-a987-4d75-8390-dad9bf7abdf3) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FfdJ83F1sMjYMq6fM9hkY%2FScreenshot_5.png?alt=media\&token=b0932df6-ffe4-472a-a9b6-8938972e0f52)

بكذا نكون طلعنا الفلاق وحلينا التحدي الاخير

#### Connect with me :&#x20;

Twitter : [@ul3n](https://twitter.com/ul3n)\
Discord : OneShot#7203\
Telegram : @f4h3d&#x20;