f萌神小熊猫

摘要： 拿到题目，下载附件解压后是一个登机牌的图片。 第一反应是图片里有隐藏文件，所以丢进010editor。 png图片后面果然有文件，像是RAR文件，但是文件头不对，将52 41 52后面的内容重新复制到1.RAR中，发现打不开，修改文件头为52 61 72后，文件变为正常的RAR文件。 里面有tick 阅读全文

摘要： 下载附件解压后如下： Event.evt是题目中提到的日志文件，第二个是被加密后的文件，第四个则是一个exe程序 打开后发现是要输入上一次RDP成功登陆的ip、date和user 打开日志文件 搜索事件ID为528的登录成功日志，从后向前找登录类型为10的RDP登录日志 输入相关参数后发现error 阅读全文