隐藏的木马文件

点击此处获得更好的阅读体验

WriteUp来源

来自MO1N战队

小明在工业生产现场的数控机床上发现了一个插着的U盘，u盘中都是些图片和文档，细心的小明总觉得这个文件好像有点异常，作为安全运营人员你能发现这个u盘中是否蕴藏着什么秘密呢？flag格式为：flag{}。------本题由恒安嘉新贡献

ntfs流隐写。NTFS文件系统支持给每个文件添加任意隐藏的数据，所以越来越多威胁采用这个特性隐藏自身。本题就是针对这个特性，对flag进行隐藏。

在解题过程中合理使用工具，因为题目中提到被植入木马病毒，并且所给出的都是些图片以及文本信息。那么合理使用一些ntfs流木马查杀的工具，如scanntfs，NtfsStreamsEditor2等，可以发现正常文件中异常的ntfs流。

查看或导出隐藏的信息进行分析，编写脚本对隐藏的信息进行解密。

编写脚本对这些base64编码进行解密。得到flag。

1
2

1	flag{8aseIsC0ol}