本文最后更新于 2025年9月6日 晚上
【任务1】勒索环境溯源排查
1
2
| 题目描述
上机排查提交病毒家族的名称,可访问应急响应.com确定家族名称,以flag{xxx}提交 首字母大写。
|
【任务2】勒索环境溯源排查
1
2
| 题目描述
提交勒索病毒预留的ID,以flag{xxxxxx}进行提交
|
【任务3】勒索环境溯源排查
1
2
| 题目描述
解密并提交桌面中flag.txt.LIVE的flag,以flag{xxxx}提交
|
LIVE1.0 恢复工具官网地址:https://www.solarsecurity.cn/tools?page=1&keyword=LIVE
1
| .\LIVE_Decrypto.exe -path "F:\CTF question\Solar8\tools_files_LIVE_Decrypto\flag.txt.LIVE"
|
解密 flag.txt.LIVE
1
| flag{cf0971c1d17a03823c3db541ea3b4ec2}
|
【任务4】勒索环境溯源排查
1
2
| 题目描述
提交Windows Defender删除攻击者C2的时间,以flag{2025.1.1_1:10}格式提交
|
查看 Defender 历史记录
【任务5】勒索环境溯源排查
1
2
| 题目描述
提交攻击者关闭Windows Defender的时间,以flag{2025.1.1_1:10}格式提交
|
【任务6】勒索环境溯源排查
1
2
| 题目描述
提交攻击者上传C2的绝对路径,格式以flag{C:\xxx\xxx}提交
|
在下载目录中找到可疑程序
1
| flag{C:\Users\Administrator\Downloads\Wq12D.exe}
|
【任务7】勒索环境溯源排查
1
2
| 题目描述
提交攻击者C2的IP外联地址,格式以flag{xx.x.x.x}提交
|
把 Wq12D.exe 文件丢进微步沙箱查看
【任务8】勒索环境溯源排查
1
2
| 题目描述
提交攻击者加密器绝对路径,格式以flag{C:\xxx\xxx}提交
|
找到加密器
1
| flag{C:\Users\Administrator\Documents\systime.exe}
|
【任务9】勒索环境溯源排查
1
2
| 题目描述
溯源黑客攻击路径,利用的哪个漏洞并推测验证,提交起运行文件绝对路径,如:flag{C:\xxx\xxx\xxx}
|
1
| flag{E:\ruoyi\ruoyi-admin.jar}
|