## Solution

İndirdiğimiz zip dosyasını normal bir arşiv programı ile açtığımızda bunun bir disk imajı olabileceğini görüyoruz.


Gizli dosya olması ihtimaline karşı mantıksal olarak değil fiziksel olarak okumak için dosyayı FTK Imager ile açıyoruz. Belki de ihtiyaç yoktur ama ben emin olmak istedim.




Burdan sonrası dosyaları detaylıca incelemek oluyor. Fazla dosya olmadığı için tek tek incelerken "developer" kullanıcısının powershell geçmişine denk geliyorum.
```
/Users/developer/AppData/Roaming/Microsoft/Windows/PowerShell/PSReadLine/ConsoleHost_history.txt
```

Dosyayı okurken, bir metni "0x06" hex'i ile xor'ladığını görüyoruz.


CyberChef is your friend.


## Flag

0xL4ugh{Y0u_AR3_G0OD_1NV3571G70R}

Original writeup (https://github.com/jackalkarlos/CTF-Writeups-and-Scripts/tree/main/0xL4ughCTF/Forensics/Deep).