前言

to be completed

Stage I

下载题目给出的附件文件 ISCTF.rar 并解压,得到如下文件:

1
2
3
4
5
6
7
8
┌──(zeraith㉿stella16)-[/mnt/s/ISCTF_2025/Virus_Analysis/ISCTF]
└─$ ls -la
total 7968
drwxrwxrwx 1 zeraith zeraith    4096 Dec  3 21:53 .
drwxrwxrwx 1 zeraith zeraith    4096 Dec  3 21:53 ..
-rwxrwxrwx 1 zeraith zeraith  786432 Dec  1 19:54 fR6Wl
-rwxrwxrwx 1 zeraith zeraith    2179 Dec  1 20:56 ISCTF基础规则说明文档.pdf.lnk
-rwxrwxrwx 1 zeraith zeraith 7368704 Dec  1 19:54 TJe1w

其中 fR6WlTje1w 两个文件在 Windows 文件资源管理器中设置了「隐藏」属性。由于 Windows 文件资源管理器的特性,.lnk 文件在显示名称时不会显示扩展名,因此用户仅可见 ISCTF基础规则说明文档.pdf 这一部分。因此,对于经验不足的 Windows 用户而言,若未开启显示隐藏项目的功能,则看起来压缩包解压后的文件夹中仅含有一个正常的 .pdf 文件,用户极容易中招。

右键该 .lnk 文件并查看属性,可见其目标为 C:\Windows\System32\msiexec.exe /i Tje1w TRANSFORMS=fR6Wl /qn

该 .pdf.lnk 文件的目标为调起 msiexec
该 .pdf.lnk 文件的目标为调起 msiexec
许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。