Solution de Poilaupat pour Petite frappe 1/3

intro forensics linux logs

13 décembre 2023

Un rapide coup d’oeil au fichier texte fourni permet de se rendre compte qu’il y des groupes de trois types de lignes qui se répètent cycliquement

La ligne de type 4 est intéressante. Notamment, une recherche sur internet sur le terme MCS_SCAN permet de se rendre compte que la valeur qui suit est probablement un code permettant d’identifier la touche frappée. Il suffit de trouver un tableau de correspondance.

Néanmoins, il y a une façon de s’en sortir encore plus simple : la ligne de type 1 comporte une sous-chaine avec la structure suivante (KEY_#) le dièse étant une partie variable qui pourrait être la touche frappée en clair.

Un simple nettoyage du fichier avec un éditeur de texte compatible avec les expression régulières permet de voir un texte qui apparait.

Il reste un dernier problème : les lettres du texte semblent dédoublées. Retour au fichier initial : les lignes de type 1 sont divisées en deux sous-groupes, celles dont la value est 0 et celles dont la value est 1. Il est probable que l’outil loggue chaque frappe en deux temps : l’appui sur la touche (OnKeyDown) et le relachement de la touche (OnKeyUp)

En conséquence on retire une ligne sur deux et le texte apparait : UNEGENTILLEINTRODUCTION.