Привет любителям шуток и задач на codeby!
Разберем довольно простенькую задачку из радела форенизика. (Рассмотрим несколько вариантов решения)
Получил на почту какую-то презентацию от незнакомца. Скачал, но открыть забыл. Только потом понял, что кажется вирусняк подхватил
_________________________________________________________________________________________________________
Для начала получим нашу смешную презентацию.
Вариант 1 - Базовый string or cat
Так как нам сказали про вирусняк, то логично будет посмотреть, что там внутри презентации, для этого сделаем из нее архив
В самом архиве увидим кучу файлов, которые связанны с изображениями в презентации и самими слайдами, но среди всего этого обилия мы найдем один очень интересный файл (и да в картинках нет стеги, вроде как....)
Понимаем, что перед нами макрос и далее будем работать с ним. Достанем его из архива (можно и все файлы достать, но это лишнее)
Теперь посмотрим на него поближе и попробуем просто использовать cat:
Наблюдаем много шума, но можем выделить некоторые названия и их значения:ActiveDocument.Variables.Add ,Const.
Поочередно пропустим их через базу64
И в итогу натыкаемся на интересный ответ.
Останется чучуть додумать и можно радоваться флагу.
Вариант 2
В этот раз не будем потрошить нашу презентацию.
Просто откроем ее.
Делаем перерыв на AAHAHAHAH и идем решать. Нам надо найти зловред, для этого ныряем на вкладку "макросы"
Открываем нужный, переменная с 64 сразу попадается на глаза, хватаем ее и декодируем, чешем голову... Немного думаем и получаем флаг
Вариант 3 Для истинных любителей покопаться.
Загялнули в хинт на сайте:
- Начни деобфусцировать зловред!
И приходим к решению, что мы ходим посмотреть детально на данный макрос, и в этом нам поможет тулза
На самом деле флаг --decode может немного запутать, но я думаю вы сможете найти нужную строчку и добыть из нее ответ.
На этом все, как говориться "СПАСИБО ЗА ВНИМАНИЕ!"
P.s Мой первый райтап не судите строго
Вложения
Последнее редактирование:
