Solution de noahlgrd01 pour iForensics - iTreasure

forensics iOS

2 juillet 2025

Pour commencer, il faut extraire backup.tar.xz et sysdiagnose_and_crashes.tar.xz sur sa propre machine (tar -xvf nom_fichier.tar.xz). Il faut également avoir sqlite3 d’installé (sudo apt install sqlite3).

En recherchant parmi les fichiers extraits, on peut repérer Manifest.db (index permettant de lier les fichiers extraits localement et leur correspondance dans le système iOS).

On va donc exécuter sqlite3 Manifest.db puis .sch pour voir les tables présentes.

Première recherche

Dans notre énoncé, on aperçoit les mots “envoyer un trésor”. On peut donc rechercher du contenu “envoyé” par email et par SMS.

SELECT * FROM Files WHERE relativePath LIKE '%sms%' OR relativePath LIKE '%mail%';

Rien d’intéressant par email, mais par contre, on trouve un fichier .HEIC (image sous format propriétaire Apple) qui a fait partie d’un message (présence du terme “Attachments”).

Récupérer la pièce jointe

Après avoir récupérer la correspondance dans les fichiers de backup (6f/6f4e34098e00a80fde876c8638fb1d685be2318b), copier-coller le fichier dans le répertoire courant

cp 6f/6f4e34098e00a80fde876c8638fb1d685be2318b treasure.heic

Convertir l’image au format JPG

sudo apt install libheif-examples
heif-convert treasure.heic treasure.jpg

Ouvrir l’image

open treasure.jpg

Flag

FCSC{<chaine_presente_dans_l_image>}