Pour commencer, il faut extraire backup.tar.xz et sysdiagnose_and_crashes.tar.xz sur sa propre machine (tar -xvf nom_fichier.tar.xz). Il faut également avoir sqlite3 d’installé (sudo apt install sqlite3).
En recherchant parmi les fichiers extraits, on peut repérer Manifest.db (index permettant de lier les fichiers extraits localement et leur correspondance dans le système iOS).
On va donc exécuter sqlite3 Manifest.db puis .sch pour voir les tables présentes.
Première recherche
Dans notre énoncé, on aperçoit les mots “envoyer un trésor”. On peut donc rechercher du contenu “envoyé” par email et par SMS.
SELECT * FROM Files WHERE relativePath LIKE '%sms%' OR relativePath LIKE '%mail%';
Rien d’intéressant par email, mais par contre, on trouve un fichier .HEIC (image sous format propriétaire Apple) qui a fait partie d’un message (présence du terme “Attachments”).
Récupérer la pièce jointe
Après avoir récupérer la correspondance dans les fichiers de backup (6f/6f4e34098e00a80fde876c8638fb1d685be2318b), copier-coller le fichier dans le répertoire courant
cp 6f/6f4e34098e00a80fde876c8638fb1d685be2318b treasure.heic
Convertir l’image au format JPG
sudo apt install libheif-examples
heif-convert treasure.heic treasure.jpg
Ouvrir l’image
open treasure.jpg
Flag
FCSC{<chaine_presente_dans_l_image>}