easy-病毒分析，但是脑洞（

2024巅峰极客-Misc

方案1：

部分说直接运行样本就会存在释放文件的操作，我这边尝试未果

方案2：

upx脱壳

​​

然后foremost分离出来得到一张图片

​​

LSB隐写

​​

http://47.104.129.38/79407f2309b5763fbd0e33dc583c4262/default.a

下载样本

注意观察原始样本中存在大量yyttddd，这个就是密钥

异或出来即得样本

​​

然后利用下面脚本进行提取的

https://github.com/CaledoniaProject/pupyrat-config-decoder

​​

但是在安装好相对应的库后，发现如上报错

再询问以及查询源码后得知，其中存在一个反编译行为

​​

但是实际上在tmp这个变量的时候就已经得到相关的结果了

​​

注释后打印结果即可

​​

1

{'launcher_args': ['--host', '60.177.118.44:3432', '-t', 'ssl']

最终flag为

1

flag{b57758d5acc923137eef453239ba685b}

‍