2020网鼎杯玄武组ransom分析

下载附件解压后如下：

Event.evt是题目中提到的日志文件，第二个是被加密后的文件，第四个则是一个exe程序

 

打开后发现是要输入上一次RDP成功登陆的ip、date和user

打开日志文件

 

搜索事件ID为528的登录成功日志，从后向前找登录类型为10的RDP登录日志

 

输入相关参数后发现error

 

继续向上找

 

成功获得flag，不清楚为什么最近的一次RDP连接不正确，个人认为可能是要输入攻击者所成功连接的那一次，毕竟题目是要定位攻击者，31.1.10.4这个ip之前出现过，所以应该是自己人在进行正常的远程连接。

 

（如果有错误，欢迎大佬指点，萌新们也可以多多交流，共同成长。）