## M4th ![image](https://hackmd.io/_uploads/S1pAZpalJe.png) ```bash= Who can beat math process? Download here: https://drive.google.com/file/d/1y31cOu_UeMjp_dAc6PQfQGAni1- j4grr/view?usp=sharing Hint: If you found the process, now look deeper into the hex. Did you to include the dot(.) when using the search filter? ``` --- Bài cho 1 file tên “round.raw”, check file mình thấy nó là file Windows Event Trace Log, thói quen hay dùng autospy để mò trước, mình tìm ra được 1 vài fake flag: ![image](https://hackmd.io/_uploads/SyUefTaekg.png) ![image](https://hackmd.io/_uploads/BkclMaaxke.png) Chuyển hướng sang dùng volatility, plugin windows.pslist.PsList được sử dụng để liệt kê các tiến trình đang chạy trong một file dump, có được danh sách: ```bash= python3 vol.py -f round.raw windows.pslist.PsList ``` ![image](https://hackmd.io/_uploads/r1NMM6alkx.png) Vì đề bài tên M4th, nên mình tìm các file có liên quan đến toán trước, có 1 file khả nghi: ![image](https://hackmd.io/_uploads/HJdQf6aeJl.png) Nhìn qua tưởng liên quan đến đề, dump thử ra xem: ```bash= python3 vol.py -f round.raw windows.dumpfiles --virtaddr 0xb80c77f1d340 ``` ![image](https://hackmd.io/_uploads/BylHGTagyl.png) Không có gì cả. Sau 1 hồi loay hoay các file exe còn lại nhưng cũng không ra, và cả giải cũng chưa ai solve, BTC đã tung hint, đề cập đến dấu “.” Khi lọc file, mình thử tìm: ```bash= python3 vol.py -f round.raw windows.filescan | grep .exe ``` Kết quả ra một loạt các file, nhưng có thể thấy có file đuôi .EXE khá là lạ so với các file khác: ```bash= python3 vol.py -f round.raw windows.filescan | grep .EXE ``` ![image](https://hackmd.io/_uploads/B1u2GTagyx.png) File notepad.EXE khả nghi nhất, dump ra: ```bash= python3 vol.py -f round.raw windows.dumpfiles --virtaddr 0xb80c76d77840 ``` ![image](https://hackmd.io/_uploads/SJbJm6alJg.png) Strings và ta có flag: ![image](https://hackmd.io/_uploads/ry6gQaplkl.png) > Flag: HZ2024{S3CR3T_N0T3P4D_2024} ---