RU | 'Deleted File' from root-me.org

Чтобы разнообразить немного реверс, хочу начать решать задачки по форензике, поэтому сразу начнём с первого задания. Но перед тем как приступить к выполнению, неплохо было бы постепенно пополнять набор своих инструментов. В этом задании нам поможет R-Studio.

Запускаем программу:

Идём по порядку:
Открыть образ -> Правой кнопкой мыши по загруженному файлу -> Сканировать -> Оставляем всё по умолчанию и жмём Сканирование.
После сканирования видим кучу информации и главное что наш файл распознан как USB флешка с файловой системой FAT16:

Дважды кликаем по распознанному USB и начинаем лазить по диску. Ничего интересного кроме .png файла, с не менее интересным названием, я не обнаружил поэтому переходим к нему. Открываем фотографию и видим прекрасный пейзаж (прекраснее может быть только флаг к заданию, лучше бы там был именно он):

Ничего интересного на фото мы не нашли, поэтому в любой непонятной ситуации:
ПКМ по фотографии -> hex viewer/redactor
И тут мы натыкаемся на очень интересную строчку - “ExifTool”:

Гуглим что это такое, и с полученной информацией анализируем нулевой сектор нашей фотографии в поисках метадаты. Находим тег dc:creator, находим такой же, но только закрывающий /dc:creator, и смотрим внутрь:

Поздравляю, автор и владелец usb найден!