1.看到桌面的doc文件进行一个分析,将文件放到沙箱,进行安全检测,查出ip为8.219.200.130
2.打开桌面上一个phpstudy的修复文件,但是其所在文件夹进行了隐藏,改变文件夹的属性,找出隐藏的文件test.bat
内容是下载一个恶意的文件a 从ip=192.168.20.129:801端口
3.在c盘下找到限制网速的软件
查找软件的MD5值,将它放在在线的md5分析网站 文件hash - 在线工具
2A5D8838BDB4D404EC632318C94ADC96
4.查找攻击者的后门md5大写
发现攻击的后门是Windows粘滞键 五次shfit
后门原理是替换C:\\windows\\system32\\sethc.exe
文件,取该文件的md5大写即可 58a3ff82a1aff927809c529eb1385da1 5.flag也在五次shift后
flag{zgsfshift666}
完结撒花 *☆( ̄▽ ̄)★* 。