# Write up linh tinh ss2 ## Hunting **Hunt01** Sau khi thực hiện chia nhỏ folder log được cấp, tiến hành parse log bằng `EvtxCmd` Sau khi filter log đã được parse với tư khóa `administrators$` ![image](https://hackmd.io/_uploads/SyuToeGTA.png) > flag: Abc00.. **Hunt05** Trước tiên khi login vào máy ảo sẽ bị shutdown luôn. Login bằng safemode cli, nhưng do không biết làm gì nên em tiến hành kéo hết tất cả các file có trong máy ảo ra ngoài máy thật bằng cách sử dụng công cụ `FTK Imager` ![image](https://hackmd.io/_uploads/Bk5kTezaR.png) Tiến hành export folder root, sau đó tiến hành sử dụng tool rà chạy bằng cơm. Thông thường khi rà soát mã độc thì em sẽ để ý những dll lạ(path lạ, tên lạ, time lạ). Sau khi check 1 hồi thì có 1 file như này trong thư mục `C:\Windows\` ![image](https://hackmd.io/_uploads/HJmCTxMpA.png) File này có thời gian lệch khá lớn so với các file khác trong thư mục, path cũng không đúng với mặc định(C:\Windows\System32 || C:\Windows\Syswow64). Em tiến hành vào ida xem thử thì đây đúng là file em cần tìm. ![image](https://hackmd.io/_uploads/SJ2NAez60.png) > flag: VCS{IT_Helpdesk_King_of_all_Job} **Hunt04** Sau khi check đến file `unverify_dll.txt`. trong đấy có 1 file đỏ lòm trên VirusTotal ![image](https://hackmd.io/_uploads/B1qUJZGTC.png) ![image](https://hackmd.io/_uploads/r1ZveZMp0.png) > flag: D6ADF85D417C6D5DDFBE47213B032018 **Hunt02** Sau khi thực hiện chạy tool rà soát trong máy ảo. Tiến hành parse lại tool rồi phân tích, đọc khá lâu và sub sai vài lần thì em phát hiện có 1 dll lạ(tên ngắn bất thường) có từ rất lâu trong máy rồi ![image](https://hackmd.io/_uploads/ryMPMZz6A.png) Mặc dù là TrustInstaller nma check trên VirusTotal lại đỏ lòm @@ ![image](https://hackmd.io/_uploads/rk1jG-f6R.png) Sub thử và correct > flag: 91CAEA3203D9F99D277F1E890B006143 ## RE **RE02** Trong file excel được cấp có 1 sheet bị ẩn đi như sau ![image](https://hackmd.io/_uploads/BygRI-fTC.png) Ném file vào HxD để trace theo string kia ta có kết quả ![image](https://hackmd.io/_uploads/Bk_lOZfpR.png) Từ đây bốc dữ liệu từ các ô và ta có flag > flag: VCS{MY_SUPERPOWER_IS_RICH} **RE03** Bài này tìm C&C của file mã độc được tìm thấy ở bài `Hunt02`. Sử dụng tool 1768.py thì có được thông tin như sau ![image](https://hackmd.io/_uploads/HyA7_ZG6R.png) > flag: www.cyberintel.io **RE04** Như đã biết thì mã độc được phát hiện là `Acrobat.dll`. Ta ném vào máy ảo hoặc sandbox chạy rồi dùng tool như `Wireshark`, `Fakenet` để monitor ![image](https://hackmd.io/_uploads/B1saxXupA.png) có 1 domain là `www.365officemail.com` xuất hiện khá nhiều, check domain trên VirusTotal ra như sau ![image](https://hackmd.io/_uploads/HJvmZQ_a0.png) > flag: 365officemail.com **RE05** Hàm `CryptFile` của sample ransomware ![image](https://hackmd.io/_uploads/Sy8PmXu6A.png) Về cơ bản thì nó sẽ thực hiện xor file trên máy của nạn nhân với key được sinh ra. Mỗi lần sẽ xor 512 byte, đến khi xor xong thì thôi. Giờ ta tìm được key là xong. Trong thư mục `DATA` có 1 file có vẻ giúp ta tìm được key ![image](https://hackmd.io/_uploads/B1ySEXO60.png) Giờ cần tìm được xem nó là phiên bản nào vì có khá nhiều phiên bản của file này. Trace 1 lúc thì trong file `C.txt` có xuất hiện như sau ![image](https://hackmd.io/_uploads/BJycEXdaA.png) Như vậy là mọi thứ đã xong, giờ chỉ cần xor là có flag ```python= xor_1 = bytes.fromhex("BE 86 26 DB FA 44 F6 C8 72 11 F7 53 E3 FC 7F D5 66 C0 6F 8C 17 A1 E5 A9 48 46 E5 D5 1A 00 FC 7D 6E 51 70 16 F9 B1 0A 06 54 C2 69 B1 3E 6A 1C BF 29 B3 3B 4E 92 AE 23 13 5B C7 E1 4B B4 83 2C EA 94 43 D9 98 10 4A B1 67 9C 9D 2B 60 38 2B 64 FE AD AA F9 C1 3E 74 A4 33 06 E2 13 0E 86 94 26 21 AD 17 E1 89 10 AE 05 23 E3 64 6A FA 15 88 00 CF 4E 4A CC 43 44 55 3B 7C 72 3C 8E E8 A6 E5 6F D6 64 A9 D8 0B 36 96 3C BE 09 48 45 1A CF 55 7B FA F6 4A B5 86 80 3D 45 92 36 68 42 B9 EF 93 1A AD CA 65 BE F9 65 73 03 D6 3C 2D DB D4 49 10 2C 66 7C 60 26 9A 9B 4A 3F 22 45 04 CB 1E 4C 28 5E 5B E4 69 25 70 07 61 38 07 A1 5E 9A 0D 03 AE 7A 9D 17 D8 D8 89 4C 76 0A 96 34 0F 92 BB C4 CB 95 57 2E 69 DD F8 9A 35 62 40 43 3C 89 D0 94 59 EC 88 F0 61 6F 98 FA 58 F9 07 24 E8 CC 73 08 04 3E 7B 21 01 EC FC 21 FB CF 9B B2 C7 61 63 39 5E 33 41 23 CF 2C 40 45 1C C3 A4 44 2E C6 24 D9 C7 73 37 8A 7F 86 F6 57 E6 B4 EB DB 73 2E DA AF 3C 24 33 B1 27 70 A3 29 86 FE 5B C1 7F C6 59 BB A6 18 63 2B 2B 2C C0 C0 1A 97 9B 20 AE E2 B6 79 A6 31 96 7D 92 F0 6E EF 21 8C E1 AA 1B 0A 04 38 94 BF DD 70 26 72 4E 23 86 DD 24 B3 CA 66 9C 78 2F CA 12 22 3B 27 FA 80 11 A3 24 20 6D 4C 1C 5D 41 D8 49 E0 31 BE 4C 48 DB 55 CD 33 78 91 0D EF 02 7C 3C 46 34 8C 60 DD 60 73 52 6D 12 74 EA 4F 91 52 9D 7C BB CE 97 3B 88 98 4E DE BB 50 41 2E 1C F8 22 CE DD 90 E1 8F 07 DB 74 FE 5C F3 89 7D B3 AE A5 E4 89 E2 4C 49 D3 79 DB 08 B9 E4 39 54 46 8A F2 53 61 78 10 D1 54 06 F1 1C 52 75 D1 6C C7 C5 42 B1 43 64 20 7C 66 13 4A B7 C7 94 0A D7 8A 6F 23 83 5E 44 D4 C3 BC B9 5B 87 B5 60 A3 33 15 42 45 90 C2 0F 1D 2E 17 57 63 F9 A4 8C 9C DC EC 86 A6 51 2C 00 E7 64 05 D7 AF EF 86 6A BE 29 A4 6F DF 99 50 BB 1D B4 EA A4 D3 28 B6 D2 52 63 AC 1B BB 27 E4 6E 55 B4 76 8B 8C 68 89 DC C2 64 A7 47 C0 26 D0 FC 77 AA 77 C3 A0 09 66 74 DB DF A1 88 38 91 E5 2A 36 30 22 D1 EA 60 A1 11 0F 6A B6 A8 A4 0D AB 71 6C 6A 8C F9 DE C0 A6 CD DA D0 08 1F 91 21 55 55 FF B8 49 AA 7F E4 CF E7 67 58 D7 15 31 F2 9B EA 22 5D B3 3E E0 07 CC 18 20 EE BE F7 84 7A 1F 63 A5 27 2E 0F 72 8C 46 77 2C E4 37 10 2D 80 CE 0A 18 A5 6C DF DB 89 1A B4 15 C3 11 37 39 56 45 4A B0 13 1F FA D0 D6 14 AC D1 18 D4 E0 60 93 F1 20 2C 65 FE E2 4B 9D 67 FB 66 3F B2 11 D0 FD F9 43 98 C1 E3 19 EB 5A 66 6D CF 46 32 7E 77 77 0E 90 06 3B 07 45 93 A2 EA BD 4B F8 E5 F0 11 A2 D7 0A 6D A9 42 50 DF 2B D1 05 A5 44 21 DD 0C F5 B0 4E 38 92 57 30 22 B5 49 66 93 5C A1 86 A2 C9 D6 B0 A4 91 4E A9 34 02 EF A8 4B 99 BF A4 BA EF F0 26 14 8B E3 31 21 41 5F B6 EF 68 E1 EC DC B0 D6 F4 0F C2 11 F1 4A E2 5D 30 DF 92 21 E2 42 53 16 28 C1 F1 65 B5 31 02 57 C7 34 B2 E1 7D 73 ED 80 D4 EE 53 43 31 B8 36 8C 8E C6 D8 AD EC 9A FC 35 40 AB DD 95 48 2D B4 F9 BD 22 D5 F2 68 98 B0 6E 95 4B 1B 28 2B 9E 64 C5 B1 97 5A 32 86 CF 48 3D 57 54 0D AE 61 82 6E 7F 41 F0 F2 4D F2 03 9F 16 BF 9D 01 96 FF 06 DE B6 E9 F7 8C 49 6E 06 93 62 D4 6B 49 A4 BA A2 8B C5 9E 44 08 8B 45 8E A3 EF 49 76 D9 6E 74 D1 B8 18 DA 2C 89 A1 CC 9D 67 E4 8D 0F 5C 53 F0 49 AE AD F1 41 33 DC F7 B7 75 D5 E6 23 41 36 C8 C3 5E 11 30 DC D7 1C F7 08 E0 C4 06 76 64 1A 3E BF C1 C5 9F EE B9 00 A7 B2 60 D1 F3 23 B0 3B B3 04 D6 7F 39 07 68 D8 35 CF 91 76 BE 74 76 68 E7 80 A4 3C 65 5A 1C 9C 20 20 45 32 6C 40 EB 53 CC 00 5D 9C 83 6A EE B6 0F 27 3A 17 FE 3B 14 E9 1F 00 33 8C 19 B0 5C 97 87 7B E0 03 CC 72 47 39 D5 6E 2B 5D 7A CF AC 5E AA 0A C4 4A DB 64 4A D8 82 8D 84 C1 35 A4 63 5C 55 32 32 57 9A 04 44 DF B6 C9 C6 07 B6 9B 7E DC 69 75 F2 E7 9A 1C 7E 44 FE 44 C4 B6 31 FF 06 92 49 9E 0E 87 39 32 BC 69 19 EE 03 C6 AB A2 98 C6 06 B3 AB 9C 8E 8B 40 3B A2 AF A6 99 9C 59 64 DC 2A DA 85 D1 5C 62 6D 83 4A 76 04 6D 29 63 31 8C 58 90 09 C2 B9 C6 98 7C 1E 2F 2D 74 45 0B 69 28 61 CB 05 61 F8 08 5E 5A EA A3 A0 DF B7 7A 44 BE A4 C4 30 6A 6B 16 44 E6 DA 44 AD 3A B5 2C C3 40 F3 65 77 77 FF 42 01 40 F5 2F E4 87 9C 31 84 29 D8 D4 E5 8A 7B 31 6B DD 80 1F 15 CE 0B 02 6E 32 9E 3C FD AB E3 F5 C9 20 14 C8 EA D7 A4 82 41 D2 BF 99 95 54 52 F3 72 63 25 AF C5 45 CB 38 08 94 1F DB EC DD 66 46 08 81 90 67 D4 FD A8 C1 0B 61 1C 7B A9 96 C3 49 3F 1F 41 46 B5 FA D5 BB 17 4C D0 E9 93 AB 80 A5 54 D9 49 05 9C 67 D0 E1 77 6E 8A F1 43 BB 1B B3 7C 25 B7 05 A3 22 DB 34 16 45 50 55 C5 93 7C 63 50 04 DA 95 E5 66 B6 38 81 41 5B BA 87 EA 6B 6E C8 42 CF 60 F5 95 8E EE 23 38 F6 EA 51 B1 5B 94 C8 40 F3 7A D9 67 E1 ED D8 B8 28 1A 25 FF 75 01 BD 53 8E C5 F7 65 3A 26 22 F3 4D C8 CF DC 7C 6F B3 64 EA D4 8E E2 EE DF 9B FE 90 AE E0 36 BD CB 35 01 5F B2 8A C0 E0 ED 50 62 BE 4F E9 E6 FF 0F 83 D9 98 FC 94 7B 32 56 EC B3 7E C3 9B 12 45 5F 60 B3 CD 65 80 22 6A 0F 56 50 82 A5 BA AC 60 B4 FC CB 3B 58 BA 46 10 A5 81 F0 E9 4B 23 03 6C 9E 0A 21 DE C4 72 09 49 15 B8 2F 1E 4F 46 D5 08 C9 E0 AF CE 38 78 1E 78 A5 3D 23 DF 05 62 4B 4A A9 DD 10 D7 62 2D CE 14 7E 65 8E 9E 50 E0 9B 42 AF D5 E2 E2 07 45 BA DA 67 C7 F2 23 F5 AA F8 72 65 74 79 E6 09 53 CD 40 7E 9D 5C 6A 68 4D 19 35 C2 77 34 FC 2A 3B 3E A3 3C 12 F9 1A E2 13 2F 1F 01 17 3E 31 C0 FF 65 0D 8B 5C 7A 77 26 04 4F E8 DC AA 7E 6F E0 FE 0B 6D 94 A5 38 32 C5 87 47 51 E4 B4 A6 02 82 D9 FD 47 FD D4 67 27 D1 58 27 8C AA C4 36 15 12 93 E7 0B B3 5B E9 C7 C6 E1 34 5F D0 71 64 DD 0F 34 CA 2E 15 D7 0D AF F1 C6 A4 50 C4 7B 99 EB 00 73 AF F6 C5 F0 0D B6 E1 1B 8F E5 11 AC F6 9F 2E DD 34 C7 F7 B6 E6 CF 42 33 E8 B4 27 A8 02 2C 81 89 79 A6 84 A9 38 B9 0D 93 E9 74 BE 3C D2 31 01 11 50 48 E7 99 69 75 93 C9 FA FD 6F 4F F5 B9 A6 ED 4B 1E 1A E3 5C FF F4 93 39 F8 65 2F 85 A4 FA E5 C2 46 AC 70 CD F2 0D 1B BF D3 60 8F D3 F3 1A 1B FF 47 D0 93 F6 67 36 15 CB 98 E0 B0 52 AC FB BB DB 9A 37 AC 38 B6 3E 70 5C D7 47 A4 E3 4B BC 61 BA 49 AE 94 F1 DA 5A FC 1E 6F 7E 1B 6E E7 56 26 3B 55 6C 37 9A 57 35 30 17 7E D0 4D 32 D0 61 74 3A 4B E2 F9 44 04 CC B6 08 84 99 8B B1 56 3F 1B B6 84 A9 17 CE F5 09 DC BE 17 89 30 E9 4C 42 06 D5 32 6B BE 85 57 77 88 01 17 1F F6 A9 58 25 92 B5 FE 9F F0 5E E0 41 99 89 C0 4A AC F2 C8 0B 4A 6B 59 F1 21 0C E6 72 D9 2A C1 A4 1A 7B 30 66 05 88 82 72 A8 BA E9 45 0D 50 53 88 8B EF B2 8B 54 47 1E 27 11 AC 8E AF 61 76 9C 95 C9 29 91 5E 11 C3 ED AA 0A 08 B1 34 23 8F 4F 07 24 82 A7 DA C8 54 D8 F3 66 CD EE 4B 02 ED 35 52 FA F8 5E D5 12 3C 85 3F 7F 2D C8 3F B6 84 21 DD 63 9F 6C 7C 03 5A D2 AB 07 0B 26 5E 5F 07 1E F1 43 93 52 D2 33 32 A8 78 E4 E4 85 B3 4E C7 E9 90 92 73 08 CF DD 31 08 52 A7 BB D7 DE FD FA BC 17 60 64 1A 3E C6 79 7B 71 C6 C0 FA 25 63 66 B7 51 DF E5 F7 93 CB 6F E2 E5 85 A4 76 85 78 40 9D 4E 34 44 F4 60 74 A4 63 4F FF 23 9D 63 07 F4 A0 53 B4 54 8D 2F 77 E8 8D A0 44 56 79 67 87 3D F6 DF 59 AB 72 B0 87 B2 8C 02 87 C3 FE 7B AB 63 DF BC B8 0F 6E 78 90 7D 1E 81 8F 6E D6 05 5D 5E 67 05 B4 24 85 39 C9 AB AB EE EF E6 B0 D0 CF F9 B6 84 B5 8C 9B 00 F0 A6 AD BB 51 82 9F DC A9 F4 C6 8D 97 62 63 2B 56 8D 07 CA 3D 25 C2 4B 37 23 4C DF C5 40 35 19 5E 53 3B 76 F7 EA 35 FE B4 74 D6 41 44 AA 7E A5 59 D8 E6 0F FD A5 73 A2 10 F5 84 C9 88 CD FF B2 58 23 2D 4E 44 0E BC A6 4C 98 F6 43 47 ED 42 F5 60 B6 7E 66 C2 8F 85 53 7E A4 E7 4C 01 8E BA 8D C0 AD 8E 57 1A 5B 4D C8 B8 CC A9 87 C6 E1 E6 B9 03 EA F8 5F 32 74 11 25 9B E8 F7 9F B0 48 54 00 56 C3 0B 7C 5F 55 0B 52 1D 52 BB A3 AF D0 98 F3 13 0F B3 B8 3D F5 44 CD 10 1C 70 14 DC C7 2D 0B 9F A0 57 95 C4 3F 2B A2 57 C1 33 96 E8 21 1A 1C 95 7D D9 60 EF 69 C7 CE 7A 9E D1 08 77 1A 6B BF 04 10 24 98 3C A9 71 1E F9 AD 3E 2D 89 1D 97 5D 94 12 C0 57 4B E6 8D 5D 14 A9 79 E7 5D E5 42 20 68 B2 4D A2 3F 75 34 1A E6 9B 43 C5 8E 96 98 03 D1 86 D2 78 9E 6A C2 3F 9C 61 2D 3C 43 F0 7F 1B 0F 39 5E 7E 4E B5 7A F8 1B 17 52 94 F0 8B 25 58 2F 77 91 E8 97 02 6C 67 D2 EC 31 58 CF 89 BC BE 83 DB 67 41 AD 9A B0 AF AF 0C 24 09 10 3B 75 F6 2B 06 22 DE 65 58 9F 06 EE 3C 13 35 F3 CA A4 CC D1 9E 39 40 76 C8 25 F1 32 A5 FD 87 8E 5A D0 3D 83 0F BD D4 60 AA A2 7D 1B 9A 33 35 71 3C 70 CF F8 D5 9D 7A 54 19 E5 C7 52 F8 F9 EE B6 1A 7A 3F A1 A7 3B 79 60 07 65 7B FC 6A 62 95 29 06 CD 02 91 B1 C1 E6 52 61 0B D8 30 67 E3 43 A0 A4 02 84 A2 B3 8E 9C 81 ED B1 95 64 EC D2 B1 1A 62 E8 72 60 32 29 D1 68 31 5F F5 A8 02 F5 1D BC 08 55 E3 F4 E5 D0 53 45 FC A9 27 50 D4 45 80 8C 82 DA 24 2B 48 B8 5B B4 CC 61 57 C8 0B 52 69 2E 56 60 D2 73 FF 6B E9 61 B3 41 99 B3 64 82 05 43 7D 08 23 06 85 F3 DC 20 92 4B 19 BA 39 F3 51 0A 9E 5B 00 50 8A 22 85 16 32 8B 90 84 31 35 C3 1B 7C E0 BA BD EA EE FC 1D 6D E8 0C 48 CF 32 3D C6 6C 33 AB 83 4E 52 57 FB 85 DA 97 4F 63 20 A1 2D 1A 19 F2 B6 0E 78 6D 97 4F 51 CB 1C EE D1 AD F1 A1 06 40 0D 7D B0 C5 EA E7 51 69 E1 A5 89 1D 89 33 1E ED B8 F0 3C 00 1A EF 87 5A 34 E8 38 50 15 80 AB 48 85 50 3F 54 8F D5 5A 69 81 7F 34 74 54 AC AF D4 CE D0 32 4C 64 E9 E5 1A 8E 4E 8F FB 7F AA 89 11 0B A1 8C E8 8B 98 EA 57 C3 DF 84 90 6D CB 5D 45 72 DF FC 69 95 E4 1B 1B 6E BA 2C 0B 1B E2 E9 3D F0 43 84 FE 95 35 E4 55 B4 34 F2 D7 86 F7 AE 5B 7F CB AF 94 CA C5 89 B0 5B B4 40 BB 90 72 70 0B 23 61 4A 59 8F 20 52 36 CB C0 DB C9 A5 D7 4E C3 DB 37 68 CE 30 48 F7 46 13 3B 0D 7D B0 F7 FD 96 FA DD FB 3C 26 E2 7F 50 4E B5 BD 7B 5F FF 3F DC 7D 99 5E 67 E9 96 A1 7B 11 E8 9A 30 A6 7A F0 81 D5 0B C4 AF E1 26 CA B5 8A 45 05 1A 73 A9 8D 17 73 A2 30 FE CE 27 4C FA 0E 61 B2 F7 D0 18 ED 70 8D CC 3A A8 2D 17 DD AC EB 3E FF 73 AB A1 2B 1D D8 2A F9 42 9E FF E4 BD 72 BE 64 88 25 CB BF 63 9E F8 F7 5C 93 15 FD 90 CD DF 2A 83 A1 39 E9 94 0F C3 00 48 71 29 B1 03 D4 51 DB D2 41 1E 8A C6 2F AD 49 D3 49 BE 49 D3 C4 37 F2 9D 51 7F B4 DC 7D 0F F3 FE 35 29 96 1F 86 87 25 0E FB DD BE F5 6F BD B0 C6 54 78 AF A4 D1 B6 A0 56 3D 49 DA 88 78 AC BD EB C7 ED E0 D8 DB 84 49 B3 BC 53 48 0C 7C 1D AD DD F5 41 8D C1 52 4B B5 AE 88 15 9D B1 0E D1 40 A1 D5 38 28 A4 6B 85 D4 74 19 5A 96 D0 9B 36 21 17 C2 13 6C A3 E7 10 1F 4C 61 3E BD 76 EA 35 C7 D5 66 51 7E CD E9 3C 8B 2D 82 C8 83 B3 B0 5F 8B F1 E0 74 7F A7 9C 01 66 0A B8 BF AC DC A6 79 A4 6E 12 E3 FB 0F 85 E8 F7 28 2E AC C4 F7 85 98 4F D0 03 11 EE D5 6E 60 6A 71 D3 84 11 F0 26 A9 54 51 A5 9C 83 03 79 CF DC E1 76 8D FC 8A A3 B5 34 1E E3 E1 53 B4 B2 AB D6 9C 86 8C 07 4D A4 9D CC 72 22 C4 04 B8 47 2D 03 41 05 12 44 C5 33 7A 51 63 9C 1A FC 15 1D 92 D1 8C 69 BE 72 0B 3C EA 7A F5 3B 61 88 2B 2B 06 DE E3 DD E3 58 08 75 41 D4 E9 63 14 6A 0B 77 0F E9 85 45 DB F0 D7 65 3D 78 C7 49 D3 3D BE D1 AA 8F 10 FB 25 B3 95 EC A7 05 5F 39 AE 3B 45 B7 DE E5 AC 01 5A 7A 8B 0D 2F AD 3F 77 6E EB 7F 22 BC D2 E6 F7 2C C7 70 A0 B5 DF 82 36 B4 B2 62 A9 F6 1D 17 77 B5 17 99 2F 99 1E 0A 00 77 4D 0E 0A 88 8B E4 CF 62 45 2B 0A A4 42 9F 86 EE FA EA 3C 0E 6C 73 72 76 74 82 44 21 1D C0 27 B3 29 E8 B4 DB 41 81 BC CB D7 C4 11 BC 87 69 F1 61 79 E2 59 9B 8B BF EA 4D 2A 3A 87 8D 37 E5 C9 13 5D CD 39 F0 58 98 F9 69 1D 0B 9E BE 04 17 B2 FE E8 60 33 CF 40 4E 78 D7 D7 1B 1B 95 E2 13 CD F9 81 68 BD 58 AB FE C9 20 FA 5B 73 E9 EA 7E E1 B6 5C F8 E6 98 2B C7 CD CB 12 81 AE 0A BB A3 6A C0 7E E4 F2 9E 6F A9 9E 75 D7 68 CE 56 CC AD E6 8E 44 49 D9 05 A9 0B 81 42 AC DB A5 0C 5C C6 AF 74 80 3B 12 40 4E 61 AA 4A 2C FF 7B 65 C3 2F 58 78 73 2C 25 1D C6 FA 7E 2D AC 21 CC 39 C5 C3 55 33 63 CE A2 3D 2E 7A BA BA 03 B6 5C 1E B2 5F 02 AE 20 C9 35 C2 3F A5 FA D2 73 36 BE 3C E4 A1 95 A4 EF FE 58 28 C6 36 10 6F D9 CC F2 7F E6 22 EF 03 C5 5C 0D CB 64 B9 27 0F B2 61 31 DF A9 C0 E1 03 60 A1 8C F8 8A 38 E6 BB 12 E5 8A E8 D8 91 5D FD B4 38 89 7D 45 60 7A A1 8E B4 94 33 A7 50 43 83 04 0E DB EE 67 2D 7D FE 4E CF C3 76 92 FD AD 74 53 CF D0 6E 46 C5 E1 EB 4F 4F 5D B8 BA 95 FD 8D C4 A7 78 C5 F1 45 51 91 9D EF 51 B9 1E DE 8E 7A FF DE CF 96 F2 3C BC 31 F5 68 FB 8E 74 CF 3E 3C 77 AF 7F 2D 5F EA DF D1 E8 61 E3 53 15 8E 10 2F C5 F6 6F 04 17 1A 01 60 97 4B 96 1F 5D 4A 61 34 22 6A EC E3 65 40 A5 D7 3B 55 04 93 E1 91 A8 B9 F7 6F 10 14 09 79 27 64 63 44 E3 60 C7 90 74 5E 33 55 03 5D 1F 67 7F 47 CB 00 14 A0 42 77 5B 8A B1 BE 26 14 BE 20 6D 47 EC 9A 03 51 8E 8F 7F 1B 64 98 FD 9C 58 E1 56 62 85 72 C7 42 E4 B1 41 C2 92 FC 41 CA 8A 74 49 C2 63 F8 CD 74 42 BF 91 DC C1 4E 6E 36 BE 7A 46 2B 4E E0 E3 AB 71 FB FD F9 20 77 9B 7F BF 69 7B 11 94 50 E7 04 28 DC 37 6E 7A F7 01 7F 9C B1 09 BC 4F E2 45 FB 88 9A 70 79 6A D1 1B D1 E7 9D 5F 2C 46 84 15 CF 74 D1 7F D0 95 AB 99 D8 97 B6 84 41 63 CB 5B 6A 9E 5E FB BC 2B 8E C7 B5 43 BC 73 FD 96 D8 EF 51 54 41 A9 0F 7A D2 5A 31 D5 73 6A FC 6F 90 F1 FF 59 CD 9B FF E5 8C DB C7 FB B3 41 36 60 66 B5 3F 5B A8 3A 42 0C 39 D6 3E 7A BD D8 1D 14 42 32 0F 31 FC F3 0D B2 07 65 35 63 C4 E9 78 BC F6 A1 2E 45 54 F6 E0 95 EE B2 85 E0 0E 22 FD D3 3E 15 2A 9A D6 32 B8 77 9C 64 89 E9 60 46 61 CF 21 0E 05 B7 11 E7 45 A7 7A 64 02 07 93 D6 27 EF 05 9D E4 F0 A1 21 AA C1 80 DA A7 CF 62 D5 5F 33 B2 4C 5B F3 C1 1E A9 E5 8E A7 C2 68 24 1D F0 32 73 CA EB 92 81 67 98 03 B5 DC 63 C8 68 BD D4 52 C7 A0 4A CC 45 F8 84 24 7A 46 EB 44 72 C1 6C 36 68 E7 D3 2F 7C 0C D8 FA BA 40 9F 7F 0B FB B5 34 7C 85 9E 46 B8 99 FB 51 51 09 A1 4D 37 54 62 24 0D 41 AA 4F 97 E4 B3 F9 44 39 C2 A2 C1 8E 3B 01 BE 2D BF 03 BD 36 63 30 B1 3C DF 2C C7 66 53 E8 41 D3 1C 00 F8 9A 22 67 F3 B3 97 80 10 F6 F8 4C 40 65 5F 78 D9 CE AD 18 07 A6 94 B2 63 A9 DE D5 2D 3E 92 7B 15 EA DF 06 59 19 AB 78 32 6A D7 B6 69 42 00 98 94 A3 BC 69 0F BA B8 79 C1 05 C8 C2 68 29 9D EF 40 52 6A 05 C7 D5 8E FC 1E 96 5C 2A E6 98 96 D7 C7 D2 BB 8F 58 8F 74 9C 1F 4E 00 D3 AF D8 90 FC B5 E1 7C 7F 67 51 D3 60 E7 AA 74 23 F3 D9 00 09 49 3D 59 C6 97 AE 13 64 1D 6F 6D 91 FE F3 A2 12 B5 D4 25 E8 60 60 30 89 65 23 9A 07 F7 B8 CD 7C 38 F1 80 5F C4 9F 4B D2 83 5C 16 DB B2 57 D7 D5 56 58 44 67 BD D8 93 52 35 93 EE 38 33 22 3F F6 93 4C CA 17 53 BB D6 D7 A7 25 89 CE 0B 23 AA 62 25 E8 65 8F 4E 9A 4A 06 C9 5F D5 6F 63 DF E4 A1 4D A2 88 74 40 95 79 C9 5A 88 DB 1F 19 F9 ED 1F F2 84 50 FF 0A F3 67 75 BB CA E1 D5 17 14 D1 A6 0A C8 11 6C 8F 25 75 03 1F B1 46 D6 61 BA 95 86 15 CF 27 D4 67 3F 78 89 CD 86 C2 43 F5 3A 1B 76 05 E8 AD 47 A6 27 C5 EF BD B7 F7 AE 00 02 15 F1 45 4D F9 41 8D 93 E2 1D 32 3F FA 61 C0 7E C3 8F 2A AE AC 7D 6C 75 B6 05 5B DA 05 CF 5D 2B CF 24 4D 4B BD A2 0F 9B EF 84 1D C7 B3 90 19 50 89 38 47 45 4D A4 3E E5 26 98 20 03 91 3D 93 23 73 66 95 D0 B5 77 0D E5 0B BE 40 E8 FF ED 14 B4 18 6E 32 06 60 85 90 52 45 64 34 BC 8E AA 0D 06 F7 67 76 E6 C7 FB 39 80 1A A5 FA 9A 92 C8 77 1F 26 F4 1C BC 8B F8 B6 54 73 5E 3D 1D A3 2A CD AA A5 B6 E3 76 B3 6E FC 4E 24 E0 E2 25 19 B6 5E ED 54 64 B0 FD 13 B2 60 7A 0B FB EC 74 63 BC 27 8A DE C3 E3 CC C8 5D 01 46 31 8B A4 0B B2 15 E4 18 F7 C3 E8 EA A3 F4 17 60 98 1F 72 C8 23 D7 1D 16 F1 7D 45 41 B8 48 0D 2D 21 6A B8 70 E7 04 27 C1 6C 87 B5 94 73 82 22 39 75 07 1B 9D F4 8C 7E 60 C8 E4 7B 88 76 52 C2 60 B1 A9 35 19 D1 80 44 75 30 E1 C3 F0 EA 18 6D 7A DD A9 9D 9E C3 C5 A4 AE 8C 53 EA D2 D6 10 14 D6 D2 E1 B0 56 FA 10 29 CD 5A 4C 46 F9 63 7D 3B BA 17 EB CC D5 ED 33 72 63 9B 81 AA C4 9E C3 90 05 F4 9E A6 59 2A 12 7B B6 A1 2E 57 46 A3 25 8D 8F 5F 7F 02 E6 87 A6 B8 E0 0D 84 5B 5C 19 BA 33 97 CA 2B E2 43 C7 EC B6 B6 BE C6 43 73 BE 79 69 6B CD 91 08 D4 84 F7 0A E4 2F 81 52 4A 0A 93 CC 77 25 0C 45 7C 34 F7 27 F5 54 3C 8F E2 E9 D0 9C 94 E1 BB 16 0E 44 D6 50 49 8A C9 2C 7E 3D FD 65 3B 86 23 AA 02 CE A6 97 9A 73 51 39 12 C6 39 D6 C3 17 14 55 FC 99 05 2F 58 50 C4 92 01 ED 44 44 80 FC 54 08 04 51 59 D6 2F 30 0F B0 3B 47 2E 69 AB FE 7F E2 14 93 05 75 DA 08 3A A1 B6 05 2D D3 66 7B D3 0C 94 42 56 49 A4 07 6D F6 4E 1A 8D 55 1F A3 9A 60 12 C4 61 5C B2 33 67 DE 6E 28 6D 57 61 A3 78 E8 06 A2 98 49 53 4A D1 DD D1 5E 28 0B 46 02 90 45 CC EF 91 69 24 13 53 89 B9 2C 40 F1 D1 83 E2 9D B5 DD 88 BC 97 59 B5 45 F4 D9 E2 07 38 CB C2 1E 82 6F C2 E7 C4 C6 CE CA 18 FB DB 9B F2 B8 65 B9 BC 7D E3 8D 94 0D 1E A9 FC CD 74 54 0A F5 88 12 8E 52 89 4F E0 3D 96 CD 2F 71 2E 2F AA 39 B2 C6 4F A0 A2 AB 87 80 DD B7 20 5B 59 FC 17 E5 DE 95 9B EF CE 00 BF F5 2A 96 78 02 25 64 67 39 AE EF 47 7B F7 75 7C 0C 80 23 D9 9A 91 93 90 26 1D CD AA 85 CE D8 54 2C 5A C0 44 A5 7F E5 A6 33 9A 27 C1 52 2A 3A 4C 50 BA 30 7A 1D 78 8B 54 DE 7D E7 13 66 A9 FD 8A 5B DF BA 88 12 6B F9 56 D9 E2 60 FE 44 2D C9 85 00 C2 74 94 2F D5 8A 4B E5 6E 1B C5 E7 94 EC D7 85 27 6E 50 F3 21 E9 3C D1 43 33 F1 EE B1 F0 CE 2D 63 EC 91 EC 34 6E 40 A7 84 B5 D6 3B 95 73 EB 96 56 67 05 52 C8 D7 EC 96 BE F4 7D 72 76 1D 23 79 A4 7E 62 F0 9E 90 EE 68 1E A5 7B 79 D1 00 3C D8 17 45 FE 7F C1 B4 0E 12 D3 4D 00 A6 22 D1 15 F3 F1 98 90 D1 2B D6 06 54 E9 D0 0B 38 6C 0A A3 76 CE 07 D5 ED 4C E2 33 96 D0 1A 9E 96 36 C7 59 90 42 54 C1 5C F0 80 39 8C 92 9F E0 81 68 6E E7 76 2E EE D9 E9 81 29 C9 23 74 FE 33 5E 99 D0 D9 60 8A 5E 26 39 65 6F D4 31 F0 F9 84 49 17 CC 2B E3 D8 B7 08 3E 81 7B 4F 22 4A 1D AA FB 7D A6 AB 7E 6B E0 82 AC 91 FA 41 97 FD B6 DF 29 EA 12 AD 98 1F 9E 30 13 90 23 36 DC D8 78 D2 FF 5F 91 3E 65 BD 85 12 68 F4 09 9C 00 8E 15 A3 C2 5E 9F A5 18 B5 46 AE C2 CB 42 19 DE 34 18 C3 E1 60 FE B4 E2 87 76 EC 9B 41 36 37 85 85 15 D0 E5 80 2C 70 BB 29 03 1B CD 0E 26 67 7A F2 91 92 A2 17 C8 2D 8C 8C 75 9C 78 F0 12 F7 44 60 AE A8 46 A4 1A 1B 7A 30 1A 1D 13 C5 84 80 A3 0D 1A 9F 81 91 41 0C 18 D9 7A 17 A7 D4 F8 9A 3D 4C 20 AF 66 62 89 05") xor_2 = bytes.fromhex("7A 8C 38 9C F5 4E EC C2 76 11 F8 5E 55 4B 3B 87 DE C0 6E 47 17 A1 E5 D5 00 44 FF D5 1A 89 24 71 07 51 70 16 F8 C2 58 41 16 C2 C7 7F 22 83 1C BF 29 B7 5C 0F DF EF 23 13 EA 48 EA B7 D5 87 2C EA 2E 5A A9 DE 56 8D B8 AA B3 E6 2A 2C FB C9 F5 A9 96 6A F4 B2 1E 10 28 15 25 D1 26 1B F8 14 CE B9 B8 D4 39 E2 B4 93 2D 64 AB FA 4D AB AB B6 AA 21 B0 B0 F7 CF 4D DF 3F 0F 08 59 E9 56 F9 5E 8D D5 E7 88 D1 20 84 75 C0 49 36 48 45 1A B4 15 FE FF F6 CA E8 26 42 3F 45 52 18 38 23 B8 EF F3 0D 05 7A 65 BE 49 6E 27 5B D6 3C F5 DE FE 65 10 2C 8A 7E 75 30 9A 9B 3C BE 28 4E 04 CB A5 0C AD 5B 5B 64 34 59 2C 82 9C C1 FC 5C B9 71 E6 BC 6A E5 22 FE EA D8 89 F0 E8 85 3C 84 30 4D 02 70 ED 8B 02 4F 16 23 06 A3 C1 1F BD BA C2 C0 47 54 F6 09 67 6F 02 E8 7A DC B8 19 FE 4A 90 D9 0D 58 81 F3 8E 44 10 5C 43 EB E8 D3 74 C3 9C 6E C6 43 0B 8A E2 06 45 90 6C 8D 64 66 3A 10 4E 63 F3 0E 38 D2 87 6F 61 F7 CE 0E C8 AE 97 F8 FE C6 3C 11 DE CF D8 19 28 E9 4A 40 C2 8B 7F CF BF 80 3D F3 12 AD 1B BC 5D 78 98 36 35 EF E5 6B 17 25 6A 80 DC 8F 8D 23 97 21 53 43 9C 48 07 E7 04 23 F7 C9 E9 01 18 5C 97 00 0A 20 4F EB 3F 83 7D 75 CA F8 98 CE B2 D2 C7 BD 88 1F A8 50 D1 5C 1A FC 16 1E E6 DC 8F F2 5A 83 B7 20 75 C7 69 B5 50 D0 D7 10 CC E2 A3 B5 99 24 1E 95 EE 0B EB E0 8F F1 1A 43 F7 D7 98 DC 4B 32 0D 49 07 21 BD 2B C7 67 FD 24 E5 1F 92 68 CF BB B9 D7 12 90 1F 13 96 B0 E7 29 88 FA FD 14 BF D2 F3 F7 0F 1A 35 74 84 3B 34 FB 04 6B 6F 7D 22 B5 F3 CC 60 D3 17 76 65 7C 07 7C A4 8C B0 A9 2A A1 59 9B FA A9 4F 65 44 71 DE 0D D9 83 4B DB E3 CB F8 CD 32 43 2F 20 04 B9 1F E0 CA B8 2B 4F 81 5E B1 24 54 F1 24 01 6E 6B B5 7B 75 A9 CB 28 76 73 6D 48 2F 54 E3 11 EB EE 70 AC 5C 67 16 7D 74 16 2B 7D F1 AC 01 EA 01 EA FB 24 BB 9A 2E 64 49 50 FF 05 2C 38 FD D6 17 33 44 33 06 17 A1 E1 B7 6A 75 3C 9A 1A 23 83 C1 51 B1 9A 64 3A 78 B7 67 EA 0F E0 42 8C E3 5D DE 74 EE F5 80 C7 BF 56 CD AD 5D 5B D0 57 0C 43 2F 60 FE 86 83 47 BB 5A E6 CB 3A B6 F4 7F BA D0 60 73 0D 50 B8 33 49 4A 49 C5 EA 1F 3E D4 1E BF 62 53 C5 7C 0E BC 7C CF 0B 59 B6 CB 8E 1B 99 24 3D 27 C7 6B 30 96 E3 D8 44 41 A0 42 F7 32 8E A1 5F 6C 27 C8 A2 B2 DB E3 E8 93 52 33 DC B4 F5 AE 7E F0 D2 15 B6 7E 21 72 D5 6F AF D2 36 DD 56 96 E6 2F 56 A5 AB 3A 3A B2 A8 21 28 9D 25 FA C1 EB 40 42 85 0D 2B BC 90 D6 B9 AA 9E 2F 9F 37 AE 7F A8 D7 11 70 CC A7 AF DA 70 8D B7 E2 C9 18 B9 A8 9C 90 C0 55 71 61 1D 5B 07 85 11 3B F3 19 88 17 95 AC C7 C0 C3 00 34 04 71 E9 F6 D7 9B F1 E3 10 96 15 99 C4 B8 1D 39 1A A8 51 DC BA AE C2 1F 9E 52 19 AD D9 23 7A AD 6C E6 2A 31 78 2B 4C E7 3F EF 14 EF D8 05 70 89 87 F3 C9 92 61 55 C2 9A 54 00 23 4A 19 CF 03 FE 87 3E C8 B7 18 0F 5D 1B 30 B2 81 7B ED 37 85 5F EB 9E 41 44 44 90 00 78 2A 3C 71 18 9A 8B 0D D6 0A FE 80 C5 76 BD 6A 55 3D E1 7E EF 8B E2 42 25 EF 49 92 4E 7E 99 0C 61 9E EE 2F 88 E7 87 E7 55 34 0D 7D 19 58 92 D6 AF FF 63 40 CF DC BD 09 B6 43 1A AF 0F 8C 30 B1 FB 16 F1 23 69 BB 6A 71 79 F3 DB 19 96 92 C0 16 12 31 3C 42 6E 78 D8 24 30 F4 DC 99 E9 37 B6 92 BF 08 E1 62 6F 6A 4A 88 BF 38 EA D5 7A D7 F2 32 27 AC 41 6A 72 CA AD 71 C4 99 36 7A 41 D8 10 AB B5 9A E1 69 C8 68 74 7A C7 D1 6E 7E D9 B7 D5 FF FF C5 68 76 FF 51 F4 EA 76 4E 65 F5 3D 05 3F C7 A5 9C 13 97 F1 52 F3 AD CE D6 C5 2D 7F 56 7B A2 B8 47 74 A6 C3 28 52 A2 78 B9 04 AD 3D F8 7E D8 57 C9 EB 33 3D 14 EF 04 FC 40 EB E9 A6 C3 69 D7 68 0E AF F8 68 BA EF 00 5A 6F FA 9E F8 A1 CA 4F 59 FF E6 41 3B D0 64 82 5B A5 1F 75 DF 8C 10 37 BD 5A 37 39 DE D5 78 45 6F 86 94 D5 30 6B 90 8B 1B 41 8E 5D CA D7 A6 20 5C 86 88 D1 51 6F C0 BE 60 2B A2 59 ED 05 2C B3 D5 01 B5 EF 8E 32 60 18 5B 2E 58 F2 F2 F4 72 38 B1 CD B2 88 52 65 40 E1 24 A9 DD 6C 47 22 A9 B7 46 B9 78 4D F4 C6 F4 0C 18 4D E2 A5 C0 D9 20 06 F2 FF D4 B1 E5 8F D3 E4 FF 52 8E 45 02 D4 1E 6A 19 F7 DE E8 0C 6D C5 A0 AD B9 14 30 18 BB DA 2C 41 A3 F8 6B 71 01 C6 3D D8 72 00 5B 01 00 BE C3 47 A9 B5 91 67 AF EA F4 B4 D9 26 AF D8 FD 03 5F 05 44 75 25 7E 86 14 03 D4 09 1D 52 AA 7D 06 50 93 DB 96 44 7C 71 42 77 EB D5 5F 2F 54 10 DB D4 AF 35 12 13 B8 64 A0 C1 F5 F4 B6 B6 41 42 F1 7D 37 60 64 BA A1 92 4C 79 AD 98 A5 00 7A 8B 31 4D 20 B7 15 FC 18 72 FE 2E 47 2C 7E 60 25 6C 1D 26 10 25 4B E8 6E 8C 0F AB 51 84 6F E1 02 C1 20 E5 95 76 2F 70 44 1C 47 01 03 A6 B4 F7 D5 63 60 66 91 85 4F 55 35 48 51 1C A4 3D 83 04 35 DE CB AF B0 61 D3 F3 77 75 F9 CF 63 4B 2C 0C 23 BC 7D 4D A2 05 D8 CB 7D 48 FD 23 11 55 68 F8 89 5D E7 86 33 00 CD C4 18 E9 A8 4B D1 11 A2 54 21 31 D8 AC 0D 22 2B 4E 5B 7D F9 93 4F 97 7B 90 88 11 E5 AD 45 F7 3A 75 13 AC C2 E1 00 E7 5A 09 E0 81 53 E4 6C FB 56 97 A1 43 B3 AA 4B EB 5D 73 25 50 6F 2F 7B 54 3A 67 95 4B D6 EA 89 B2 22 93 59 F1 56 5F F3 1F A7 A7 22 8E 61 16 EF A1 4F 72 2B 4C 9C 44 99 46 5E 44 C9 7F 16 D5 12 E8 1E 22 76 F9 E9 DB D9 5B D4 FF E6 F0 64 66 54 15 3C C6 D9 E0 88 C6 D4 66 89 B3 40 71 28 33 E8 CA 95 16 91 0B EC DA 48 D6 02 5D B7 44 17 B8 63 24 4B A5 3D BF E7 3D C3 15 89 53 61 3D 77 52 5F EE 02 B7 99 9E 26 3B 7F A9 AC 0C EF 7F 7B 9B D5 6A 92 84 09 A4 AD 25 AD 47 AD F3 8C 0D 7D EA EA 6E A4 DE B0 34 D3 0E CB 86 0C BE C4 D0 E3 B5 EE D8 80 F6 71 E5 1B B8 6B D0 C8 09 6D FE CA C6 B4 52 65 8C D2 BD 9C D2 5C 95 D6 1E EC D2 4D 79 1E ED 24 DA 57 21 11 2F BB 9F E6 7F 50 8A 52 A2 C3 C8 6B C1 EC 7E 20 6C 25 F4 22 7A 69 41 B0 25 30 D0 6A 00 46 0C F4 0A 26 80 CF A1 E9 89 12 50 91 97 85 98 B8 A5 97 C7 87 D8 3E BD 38 95 2C 94 89 0D DD F1 22 25 23 D8 24 6F AB 3B 2A 97 42 7C 40 B3 C2 85 7A 7B 7E 15 3A 6C 74 CD 60 D9 2F 27 57 0E A2 B9 D5 AA C8 EB E1 1F 97 22 16 32 56 5A 5A D4 2E 7C 29 FE BE E3 EA 47 44 78 97 C9 0F 86 AE 75 1D 22 4F AC D3 62 51 01 B5 D1 D2 59 2D 28 7D 01 AF 96 52 CD BB 11 0D C0 57 91 E9 43 30 08 97 99 56 5B 3B 9A 46 CF DB A4 A0 FA 65 63 88 CB DF 25 0C BE 46 C0 A4 F6 FD 98 DD 2B 69 D0 C7 56 E3 1D 9B 7C FD DB 7F EF 2A 16 5A D9 14 AE FD 33 12 B9 1A 56 CD 9A 5E FF 75 91 49 9B 46 41 F1 A3 CD 87 8E A4 E1 CC 15 43 70 78 2B 4B D5 9C 4A 33 3A DB 85 F8 8F A6 F2 97 4D F6 3B 2E 36 C2 51 A7 F0 65 B5 FD 25 AF B1 21 5C E4 66 A0 7B 75 67 4F 57 5E C6 2D 7E 2E E3 2A 9D 48 2E AF 40 66 DF 38 DB EE A1 D2 B9 EE F2 EB DC D5 F1 8E 95 9E 27 09 A2 2A 7B 4E C1 52 E2 D9 39 F5 31 6E 81 2C D3 2C 9D 0D 31 2F C2 B6 EF A4 E6 56 F8 F3 E4 ED 52 0E 51 CC 3D C4 BC 26 32 17 F5 DC BE C8 D4 F5 4E 54 76 D7 F5 3E 2C BB 1A C2 B4 38 A6 74 63 FE A2 3D 2B 65 4F FB 7C CC 16 09 FB C9 7F F7 95 E5 16 81 7C 79 8A 8E 4D E2 3C F0 A8 74 90 47 31 88 42 70 37 67 1A 87 44 9A 39 CE 8F 83 A5 43 AA 7B E7 0E 6A 47 A4 9F BC E2 1B 79 24 52 3D 60 4A F4 CA 46 8A 4A 57 B4 D9 DB A0 EE 6D 71 FE 0D F6 0F F8 83 01 8D 74 70 97 61 88 E6 4B C8 50 F0 5A E0 9D 83 53 83 E5 47 DF 78 54 E3 08 49 BB 92 37 CE 9B 35 AC 02 67 6D E6 DA 11 C9 3D 96 EE 00 4E 48 32 91 5B 5D 45 52 AA 43 8A 27 92 7F 21 3D A3 52 D0 63 29 A6 91 57 AB AC 31 E2 5C 8B 9C 1C 96 1B 3F 04 33 38 32 80 16 98 A8 41 8C 21 DE D7 17 44 A8 08 24 FF C7 A6 0F 48 EA A2 EE 7E 01 BC 1B 2C AE 9C 17 33 1D 38 51 ED FD 05 46 1B CF 28 C0 52 06 03 AA D9 48 4B 88 81 8A 8E AB 63 9F EF 51 EA 05 24 CF 45 D0 B0 01 B6 5C 00 D9 61 3E 92 DE 2D E2 C3 14 25 BC A0 E0 9D D6 2D 4D 8B E3 21 96 62 E0 25 96 20 A5 B8 C0 F2 6D 74 5C 99 D8 56 61 E0 68 6D 78 DD CA 73 E2 2A F1 EF 32 92 C1 65 62 0A BA 7D 6A BC B2 8B 12 27 32 6E 1D 0E 45 ED CF E2 B7 4E 59 22 C3 67 E8 74 B9 F4 F3 C3 75 B0 5A B6 8C E3 46 AB 52 CE 65 B7 3A 98 3F FB 9D C4 F6 82 89 EF 99 AA 1D 66 5C 23 78 DA 5F D3 31 98 9D DA 5B DD 94 FE C6 D0 E0 4A C4 9C 2F AE 8A A4 2C 39 2A 0B 7B 59 47 3E E9 E1 C3 85 78 0F 36 9A 03 97 89 95 D8 14 F6 FF 89 A3 C9 FF A0 67 6E 6B 81 A6 3C 9E AE 45 F6 FF 76 BC 17 83 D0 5C 16 E1 9F 0A 4A 86 85 7E 7F D9 2D 5A F4 19 0E 1B FC A1 E8 8A 4E 4E 15 8C 3E 64 E7 8E 4F F4 F2 84 15 35 AC 74 38 73 92 9F C4 C5 5A E4 E7 C9 33 37 0C C3 C2 FD 02 9A 2B 26 EB 64 64 38 35 EF 33 EF B3 37 2A 21 A8 48 64 2C C2 C4 A2 ED 58 7B 89 FA 23 48 3F 0D A6 BF BA B2 E1 DA 66 00 EA 1B F6 D8 35 E5 99 49 AD 0D 59 F2 B3 82 DC 3E FC EB 8A 52 7D A0 6A 36 B8 C5 51 73 08 1C 69 CC C8 FC A0 59 55 3C 37 14 BB 12 C7 16 D3 40 F1 BB B6 74 10 FA D1 AD 15 63 23 A8 52 A7 80 A3 B5 32 71 6A B2 E4 0A 39 71 66 7F B7 9C E3 65 B9 4B 9E 44 8C 31 F4 20 97 CB E9 DE 82 B3 84 99 7C 8E 8F 8F 12 D2 52 4E 5F 7A D2 8E 48 B1 F3 5E 1A BF E3 86 6C 45 6F D0 4D BC B3 ED CF 7A 33 48 E3 4F 90 CB 45 63 CD 71 03 7C 16 5A 24 6A AE A1 84 B3 13 B1 B1 6F BC 1F E5 B8 85 8D 68 26 34 50 E4 28 20 B7 64 CF C9 6A F4 93 2D 27 E0 CD 11 6C 4F A3 07 A8 C3 E4 4B A7 53 46 07 33 1E B1 53 50 A2 01 B6 C7 21 22 CF AE 4A 7E 0C 75 6F 63 43 A4 C2 F5 31 E0 F6 17 C2 43 15 90 FD FE E3 CB DD 3C CC 2B A8 D8 BE F9 00 5E 48 0F 79 F6 DF ED 1B FF EA FA 90 61 56 A3 3D B1 2D EC 08 92 9B 3A B0 AD 34 AE B4 10 3C E6 07 0A A0 D2 42 77 69 B4 95 4F EC 42 87 BB 88 E0 0C E6 0E 52 C8 CC 21 F7 BC 86 34 AB C5 C9 03 23 D6 96 44 BA 54 02 3D 8A 57 AA B3 A1 15 33 EB 23 24 49 99 69 63 D0 26 3D AC 1F 9C 9D 9D 13 3B C7 70 82 39 19 A5 1A 88 EE 79 AB CC 60 41 BD 67 AE 0A 69 90 3E 91 FA 34 73 4D CA D6 B9 2F FB 5D 1A 32 D2 1B 69 48 A8 22 46 A4 B3 5C 51 22 8B FE 5F 00 5A C2 05 10 91 02 48 2C EA F8 4A 12 91 40 5F AA 0C DD D4 4C A7 92 BB 14 A8 A9 E9 67 B7 AD 6C 64 55 3C E0 4A A4 6C 91 2C 3E 13 EC AC CC 13 9F 13 C8 AB 18 67 89 C2 4E E7 82 94 F6 5F AE 65 61 65 C4 F6 25 0D 5C AE C6 20 56 1A 38 F3 53 03 D7 B3 F3 57 19 2A 2D 17 CC 07 D7 EE 66 47 A0 62 5F 35 81 C7 8C B2 95 CC AC F3 95 94 E7 86 4B DB D9 1C E2 8B 4B E8 0D A4 79 13 C6 BA 74 D5 77 A2 B8 E1 FB 2F 1F 97 93 E2 4E 47 7B 29 DE 2A EC 43 2C F8 08 92 A4 C9 19 F8 01 9D 01 8C 03 89 78 E2 FB A0 15 56 66 85 6F 2E DE 2D 98 1F 2D 21 D1 F9 69 36 AE 04 EA 45 1C 0B 37 82 0E A9 FD DE DE 0E 26 13 4B 6B 14 00 EE 8F 33 57 B9 F1 59 44 70 FA 58 54 72 C4 E2 96 85 E1 BB 52 AC B5 50 A5 F5 83 79 E7 9D A2 91 B0 F5 CE 61 B3 26 97 E0 C3 9F 6C 25 FD 76 52 4C 30 2E 2A 0D C4 D0 2A 56 72 8C 00 1A 70 1B AF F7 75 9D 9B AD EF 5C 81 8A DA 50 3B 00 ED F2 CC 48 67 7B DA 45 2F 08 32 32 AF 1B F4 FD A0 85 82 FE FD 9A 7E 0B 74 4E DF B1 3C 1F 0E AF 74 54 32 59 D2 56 95 91 75 AC 3B 92 71 3E 84 47 7C 6B BA 09 30 06 13 EC 33 03 5A C1 79 60 4A CA F1 B5 8C D8 D0 63 42 74 8D 7C 52 C1 A9 0E 73 C4 5D 9B 48 8A EC 66 7D 06 5B E3 75 47 21 17 17 59 36 DF 7A 8F E1 01 F3 08 0F FF EA D1 12 13 38 83 48 2F B6 C4 E8 D6 31 2D 3B 73 6A EF 4F 24 E1 A3 F5 C4 5B 06 E4 8F 83 E5 2D 3E EC 3F 7C E1 A0 1C F6 B7 F2 BE 5D 0C 45 C1 9B 79 6C A1 AF D8 4C BA 81 EC BD 7A DD 65 FF 38 20 44 3B 00 D9 C2 D5 88 B1 31 33 26 41 87 36 FB 83 EE 11 44 B3 D2 4F D7 20 FE 3C F7 EA A2 9D D1 BA E7 8B D5 03 B8 90 C2 FC 2C 17 57 CF 2D 4A 02 1A 34 BB AC E8 DD B8 BE 07 38 5D EE 7C 88 10 28 75 46 82 A1 68 1E 68 35 18 1E B3 0F F6 79 2C C7 EC 36 9F 90 5D 2F 90 B9 C8 03 9A ED B9 C9 83 4C D7 94 89 0F 0F 01 A3 28 60 85 95 FC B6 9F 1D 87 3F F0 11 D8 6D 9F 31 A5 6C 2D 65 31 BB 7B 2E F9 FC 81 65 34 52 D2 50 47 5E DA 75 99 C0 37 BA 97 E6 CC 61 5E 49 82 D0 29 C6 82 B3 D3 49 E8 12 76 7B 26 27 D9 E7 0C 70 DB E7 94 17 CE 6E 80 09 55 86 12 31 D5 11 BF 41 F1 59 BB E6 17 3B 23 7B CF 31 49 BF 23 D6 23 58 81 E8 73 67 45 93 91 8E 6E DB 53 DC 3F F4 58 6F DA 12 EA DE EB EF 21 25 6B 5B CB 4E FE 10 8A CF 61 60 D5 60 A3 CF EF 72 54 75 D2 9B 2F B7 F6 AC 03 C5 3B A2 4A 6D 59 32 C1 BF A1 8C 9C 2B 68 BE B1 EE 2A B4 4E BB DE 5F 92 34 BD F6 D7 7A 06 8B 4A 23 E2 9C DC AF F0 50 91 3B 72 9A F9 E7 37 70 F8 B5 47 D7 BC 8D 5C 5E A1 C8 80 37 8C D2 A9 13 25 8E 1C BD 25 75 CE 3E 9F 68 EE FC BE F7 19 3B 23 CE F7 68 2A 19 84 DC 12 EA 21 98 2A 2D 12 49 50 6B BB 87 62 2F 69 7E 41 16 00 C0 4C A0 52 F3 06 03 33 9D 41 3A FC 5A 66 5C C3 83 D3 87 E4 02 DC 0E 1F 22 88 84 2A 3F 66 3F 60 98 E8 BC EF 93 46 10 AE 26 CA 64 21 2B 1A 59 19 0A E6 47 09 BC 27 A0 59 44 57 C5 F3 32 8E F3 1F 8C C6 CC 06 12 A0 63 03 9B FB 5B 83 AA 6F AF F2 A4 CE 26 38 45 AE 48 44 D7 BF 68 6D C0 C2 44 2C 89 14 55 15 C9 89 EB 91 E3 EF E6 AB 22 F3 CC 49 F6 AD 1F 2C 7A 11 11 FD BF BB 35 49 20 8D AE BE 62 5A 4C 04 5A 29 EC 5E F5 55 B9 A4 1E 2E EF C4 D4 C2 1B DB CC D2 21 8E 56 C2 47 D6 B9 63 60 AE 89 AA E7 75 97 34 EA C3 C9 F6 8C C5 1F 17 B7 D3 78 3D C8 88 D5 B6 BC 36 5C F3 91 FA F6 1E 40 57 50 E3 C5 80 4E 23 67 CF 9B F8 F8 B7 49 2B 72 6B 9E 5E 17 BE 3E 9C 94 D0 59 5B 7B F6 96 D8 45 51 D1 45 A9 88 66 16 FC 41 B0 C0 37 AE 0E D1 49 8D 0E 65 29 FF E4 3D D2 93 A1 B3 7C EE 7D 30 D2 3F A9 94 66 9C 73 6C 4E 9D DD A6 59 1E DA 81 B5 8C 3D F0 E3 38 9E 71 AB 1A 04 11 EA CB 52 05 6B 76 25 5D 23 53 E8 17 E2 0E 29 65 1C 3C 44 DB 36 3E 43 67 07 12 33 69 9D 67 B1 14 0D 1E 2A E6 5F F2 87 1E D2 65 F0 B6 A6 01 64 0B 38 1F 51 50 76 19 A6 23 D7 05 49 69 0C 04 3D 97 0F BF B1 75 93 62 C6 7E B2 A6 54 2A 53 01 3F 68 40 B8 CF 76 7B 37 1E 70 A8 C2 54 4E 62 3A 25 FB 03 B1 A7 3F CE F5 97 16 25 BF 7D BA 61 27 C1 90 54 C2 A9 C0 7D 11 88 2F 6F 65 6A B9 8A 31 24 4D 80 74 96 80 AF ED 42 E4 C0 27 C2 E8 33 7C B9 A2 51 83 46 ED 42 FB C3 B0 31 C0 9D 18 A1 01 47 F9 9C C5 2D 56 DB B3 2B 4E 03 4A AF 1E CB E9 4B 55 55 E2 5C D6 6A 73 41 28 D4 F0 D8 8D 01 D6 FA AF 51 3A D1 76 FC AA 00 EC 7C B3 E4 EF 9D ED 0A 8F 29 84 D8 88 76 EA BB BF B0 CC 76 B6 96 9D 04 19 4B 39 E4 A3 95 E5 26 6F 06 01 BB 98 F0 85 2D ED C1 FE 26 C0 71 9B 25 8C 47 20 0D 2E 1A 97 70 BB FC 6E 53 25 51 EA 9C 33 F8 B9 3A 53 F6 C7 E4 C9 3E F6 E4 F9 00 19 C5 22 F9 2E D1 8F 61 8D AF ED AF D5 A4 05 8C A0 A7 7B 9F 51 27 8A C6 B7 84 F3 30 26 2E E1 77 6D 16 8E DC 94 B2 FE 7E FF 9F 15 67 94 E9 D7 4F 91 D4 30 90 66 51 A7 AF 8F 49 B6 71 EA 8B DD 57 A5 A1 21 C9 89 7E 10 19 7A C0 8C 5C 78 32 68 CF B8 46 D9 23 09 DE F2 1A D6 1E 5B 9B 21 9A E7 4E AE DB 12 07 F8 69 08 47 FD 9A A2 FA C1 70 1A 2B 27 CB 32 F0 BC 93 C7 35 F3 AB 43 2F E9 AB 07 A6 D0 00 4E 2F 4E 47 38 8C D0 7C 7F C0 65 FA C1 83 74 97 DB 07 8A C3 FE 27 23 6B 77 D6 87 CB BE C6 77 DD E6 30 6E 30 A6 79 11 7D 4D DD D4 AD 98 F1 81 1B 9E 39 11 29 0F 70 E2 24 62 DD 4B 7E 08 34 63 FD E2 6E 33 B2 2C 9C 57 35 6D 36 35 A1 0C B5 9B D2 F3 DA 13 7A 5C 5F F8 8B E3 18 B4 29 80 88 E8 0E 47 A8 FC 2F 5B 3F 6E F9 80 13 CC 35 91 42 BC 01 24 78 54 35 CB 15 F4 08 CD 40 6A 9A 5A 23 EA 8A A1 7D FB C6 09 2B 6F C3 2B E1 AE C0 7E A5 7E 6A 9E 3D 84 C8 10 9B 70 F5 72 2C 3C 43 9D B6 AD D4 DB 59 90 A3 BE 87 9B 84 AC 8B 55 55 3C 40 B9 81 E5 14 E4 36 6A 96 5B 8E 51 1A 88 C7 41 2D FA C1 92 F2 41 22 72 FA 62 6B 90 BC CD 3A 7D 8F 89 43 AC 83 09 23 15 A8 36 7F A2 32 06 25 60 F0 10 72 C1 AE ED A6 B4 11 86 08 1A D4 72 F8 98 C5 56 30 52 2A 71 D0 CE 63 EA 0B EE D0 A9 C5 CE 90 6A 22 84 48 95 31 AC 5D 94 48 3F A8 C6 B4 F8 BE E6 C9 1D E6 B5 66 D9 F7 36 DF 4D 5B 10 CA B9 85 96 1B B4 43 E0 61 75 BA 5F A3 0E 8E 00 2F EF 3F BD 36 A6 51 6B 73 4A 9D A7 B3 04 40 2A 42 30 98 49 A0 D0 A3 C7 55 5A 9B 67 97 91 69 F4 FD A7 2B BA 30 9D 68 97 46 15 82 69 02 7C 37 CC 73 A4 BB C7 3F 2D C6 6F F8 52 B6 EB 92 1B 77 96 12 2D CF 60 15 BD 3B 20 18 F4 64 19 A3 17 DC 48 16 19 AE 08 22 0C D0 84 80 FD C6 84 93 77 2C 0F 8B 20 C1 11 77 29 54 78 84 E3 2D 30 96 53 79 8C A8 85 00 CB 5B 02 43 DE 16 D0 27 8C E2 45 87 7C CE 80 80 B1 A4 05 B9 5B 89 3B A0 5C DD E4 BA 3D B7 6A 1B 65 DF 32 28 6E F6 DF D1 32 6D BC 59 C3 7D 55 4A 17 B2 37 D7 9B B8 8F 35 09 AC F5 A2 5F AF 7C DB 80 6F 7A 82 60 31 C9 05 2A EE 45 73 79 C3 38 54 A2 02 28 82 C8 CC EC 03 D5 56 3A 4E 20 6A C4 60 CE 93 B2 4E D3 58 DC AE 71 4B A1 44 43 62 35 70 A0 7F 40 22 6B 32 D4 F9 98 F3 38 25 13 EA 04 37 44 EF A3 ED 15 02 51 37 31 7C F9 3C DC 1D A5 C3 0C F7 01 74 11 8A 13 66 0D 74 5E 9A 98 B8 DB 6C 4F D0 92 C3 A9 ED 67 0E 7D E4 38 0C D8 CB C7 56 F7 E4 1A 4A 36 F7 E8 C3 E4 44 42 03 D1 B5 1E 9E 03 31 BE 36 AF B0 17 7F 89 11 71 38 1B 45 11 00 8D EB 6F DB BC A7 D3 31 2C 5E 14 CE 99 83 17 FE D7 BD B6 56 C1 1F 86 76 C6 E1 AC 58 4B 89 C7 34 9C 00 34 09 B2 EE 9A 98 E4 47 09 38 04 B7 49 C5 6C 86 3C 9E BB 53 7D 00 41 77 36 7A E7 35 06 0E 70 EF E9 02 93 4C 40 61 44 7A AF EB 59 CF F4 7F 68 38 84 83 4B AE 39 54 A1 A9 39 B3 E9 FA 08 93 F1 B6 35 39 B7 F4 87 D2 70 5D 44 B0 93 56 DA 5E 75 A9 EE 50 52 86 4F 68 2D 5C AB 7D FA EA 05 98 DB 22 67 B8 26 A3 1D 98 7C F5 37 C0 9C 0E 2C D2 D0 40 63 96 52 10 BD 96 F9 FE F1 5C 04 FB 7C 08 EA 2C 81 90 FE CC 87 CC 7A 8B 2D 69 A4 F6 F1 23 C7 17 0F 62 82 C3 8F 95 1E 9F 47 5E B5 43 A7 B4 83 5B FC 68 EB D7 0F 99 E3 C8 83 87 5E 0F D3 DE 21 90 37 A7 05 5E C9 2F B4 27 2B 9A 6D 45 4D 06 27 F0 92 B3 D6 10 80 D0 89 B8 32 86 64 FC 50 00 2F DF 4D 4D 64 F6 B3 8B 23 63 F6 F2 05 A6 8B 70 99 30 EA 02 75 85 93 93 99 42 07 0C C7 98 51 60 53 B5 9A B5 9F E8 9B EA B5 4D 40 18 78 8A B8 BB F5 6B 9B 24 1B 25 AF FD EE 5A AF CF 0E 56 B8 F3 D7 CE 1F 8E 25 A4 56 6A 62 F6 00 7B 4C 53 4E C2 8B AB 93 DD 8F 95 DA 4E 3D C6 A8 48 FA A0 7E 62 54 64 A0 E6 1E E0 3C DA 74 7D 24 0C 3A 24 43 71 C6 F5 AF BE 66 3A 0A 84 2A B8 C1 F1 88 DB 12 FC B7 8D 8E 11 7F 1F A2 80 C0 74 18 9F BE 35 E8 0C BF B1 F7 F2 F0 01 36 80 A5 40 10 FC 05 9D 8C 82 D9 69 C3 01 FD 2F 27 4F 7A A5 39 AA FE 57 78 82 84 94 75 44 FC B5 38 DB 44 60 42 AA 53 BD 4F 75 7F D0 76 73 52 B1 8B 0A 15 90 91 E4 C5 88 DC C8 DE CE E0 8C A8 81 96 E9 15 6F 0B AA BC 54 9B EE") xor_3 = bytes.fromhex("4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 45 00 00 4C 01 0A 00 07 18 C6 5E 00 00 00 00 00 00 00 00 E0 00 8F 81 0B 01 02 19 00 50 0B 00 00 50 01 00 00 00 00 00 EC 5E 0B 00 00 10 00 00 00 70 0B 00 00 00 40 00 00 10 00 00 00 02 00 00 06 00 00 00 06 00 00 00 06 00 00 00 00 00 00 00 00 80 0D 00 00 04 00 00 D7 6E C4 04 02 00 40 81 00 00 10 00 00 40 00 00 00 00 10 00 00 10 00 00 00 00 00 00 10 00 00 00 00 40 0C 00 9A 00 00 00 00 20 0C 00 36 0F 00 00 00 70 0C 00 24 01 01 00 00 00 00 00 00 00 00 00 48 88 C3 04 B0 27 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 60 0C 00 18 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E4 22 0C 00 44 02 00 00 00 30 0C 00 A4 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2E 74 65 78 74 00 00 00 04 36 0B 00 00 10 00 00 00 38 0B 00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 20 00 00 60 2E 69 74 65 78 74 00 00 84 16 00 00 00 50 0B 00 00 18 00 00 00 3C 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 20 00 00 60 2E 64 61 74 61 00 00 00 A4 37 00 00 00 70 0B 00 00 38 00 00 00 54 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 C0 2E 62 73 73 00 00 00 00 A0 6D 00 00 00 B0 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 C0 2E 69 64 61 74 61 00 00 36 0F 00 00 00 20 0C 00 00 10 00 00 00 8C 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 C0 2E 64 69 64 61 74 61 00 A4 01 00 00 00 30 0C 00 00 02 00 00 00 9C 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 C0 2E 65 64 61 74 61 00 00 9A 00 00 00 00 40 0C 00 00 02 00 00 00 9E 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 40 2E 74 6C 73 00 00 00 00 18 00 00 00 00 50 0C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 C0 2E 72 64 61 74 61 00 00 5D 00 00 00 00 60 0C 00 00 02 00 00 00 A0 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 40 2E 72 73 72 63 00 00 00 24 01 01 00 00 70 0C 00 00 02 01 00 00 A2 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 C0 0C 00 00 00 00 00 00 EA 0B 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 10 40 00 03 07 42 6F 6F 6C 65 61 6E 01 00 00 00 00 01 00 00 00 00 10 40 00 05 46 61 6C 73 65 04 54 72 75 65 06 53 79 73 74 65 6D 02 00 00 00 34 10 40 00 02 08 41 6E 73 69 43 68 61 72 01 00 00 00 00 FF 00 00 00 02 00 00 00 00 50 10 40 00 09 04 43 68 61 72 03 00 00 00 00 FF FF 00 00 02 00 00 00 00 68 10 40 00 01 08 53 68 6F 72 74 49 6E 74 00 80 FF FF FF 7F 00 00 00 02 00 00 00 00 84 10 40 00 01 08 53 6D 61 6C 6C 49 6E 74 02 00 80 FF FF FF 7F 00 00 02 00 00 00 00 A0 10 40 00 01 07 49 6E 74 65 67 65 72 04 00 00 00 80 FF FF FF 7F 02 00 B8 10 40 00 01 04 42 79 74 65 01 00 00 00 00 FF 00 00 00 02 00 00 00 00 D0 10 40 00 01 04 57 6F 72 64 03 00 00 00 00 FF FF 00 00 02 00 00 00 00 E8 10 40 00 01 08 43 61 72 64 69 6E 61 6C 05 00 00 00 00 FF FF FF FF 02 00 00 00 00 04 11 40 00 14 07 50 6F 69 6E 74 65 72 00 00 00 00 02 00 00 18 11 40 00 10 05 49 6E 74 36 34 00 00 00 00 00 00 00 80 FF FF FF FF FF FF FF 7F 02 00 00 00 00 38 11 40 00 10 06 55 49 6E 74 36 34 00 00 00 00 00 00 00 00 FF FF FF FF FF FF FF FF 02 00 00 00 58 11 40 00 01 09 4E 61 74 69 76 65 49 6E 74 04 00 00 00 80 FF FF FF 7F 02 00 00 00 74 11 40 00 01 0A 4E 61 74 69 76 65 55 49 6E 74 05 00 00 00 00 FF FF FF FF 02 00 00 90 11 40 00 04 06 53 69 6E 67 6C 65 00 02 00 00 A0 11 40 00 04 08 45 78 74 65 6E 64 65 64 02 02 00 00 00 00 B4 11 40 00 04 06 44 6F 75 62 6C 65 01 02 00 00 C4 11 40 00 04 04 43 6F 6D 70 03 02 00 00 00 00 D4 11 40 00 04 08 43 75 72 72 65 6E 63 79 04 02 00 00 00 00 E8 11 40 00 05 0B 53 68 6F 72 74 53 74 72 69 6E 67 FF 02 00 FC 11 40 00 14 09 50 41 6E 73 69 43 68 61 72 30 10 40 00 02 00 00 00 00 14 12 40 00 14 09 50 57 69 64 65 43 68 61 72 4C 10 40 00 02 00 00 00 00 2C 12 40 00 03 08 42 79 74 65 42 6F 6F 6C 00 00 00 00 80 FF FF FF 7F 28 12 40 00 05 46 61 6C 73 65 04 54 72 75 65 06 53 79 73 74 65 6D 02 00 00 5C 12 40 00 03 08 57 6F 72 64 42 6F 6F 6C 02 00 00 00 80 FF FF FF 7F 58 12 40 00 05 46 61 6C 73 65 04 54 72 75 65 06 53 79 73 74 65 6D 02 00 00 8C 12 40 00 03 08 4C 6F 6E 67 42 6F 6F 6C 04 00 00 00 80 FF FF FF 7F 88 12 40 00 05 46 61 6C 73 65 04 54 72 75 65 06 53 79 73 74 65 6D 02 00 00 BC 12 40 00 12 06 73 74 72 69 6E 67 02 00 00 00 CC 12 40 00 0B 0A 57 69 64 65 53 74 72 69 6E 67 02 00 00 00 E0 12 40 00 0A 0A 41 6E 73 69 53 74 72 69 6E 67 00 00 02 00 F4 12 40 00 0C 07 56 61 72 69 61 6E 74 02 00 00 04 13 40 00 0C 0A 4F 6C 65 56 61 72 69 61 6E 74 02 00 00 00 18 13 40 00 13 06 54 43 6C 61 73 73 88 1F 40 00 02 00 00 00 2C 13 40 00 01 07 48 52 45 53 55 4C 54 04 00 00 00 80 FF FF FF 7F 02 00 44 13 40 00 0E 05 54 47 55 49 44 10 00 00 00 00 00 00 00 00 04 00 00 00 E4 10 40 00 00 00 00 00 02 02 44 31 02 00 CC 10 40 00 04 00 00 00 02 02 44 32 02 00 CC 10 40 00 06 00 00 00 02 02 44 33 02 00 00 00 00 00 08 00 00 00 02 02 44 34 02 00 02 00 05 00 0B F4 CA 40 00 0C 26 6F 70 5F 45 71 75 61 6C 69 74 79 00 00 00 10 40 00 02 12 40 13 40 00 04 4C 65 66 74 02 00 12 40 13 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 0E 26 6F 70 5F 49 6E 65 71 75 61 6C 69 74 79 00 00 00 10 40 00 02 12 40 13 40 00 04 4C 65 66 74 02 00 12 40 13 40 00 05 52 69 67 68 74 02 00 02 00 09 18 7C 4B 00 05 45 6D 70 74 79 00 00 40 13 40 00 00 02 00 09 18 7C 4B 00 06 43 72 65 61 74 65 00 00 40 13 40 00 02 02 00 00 00 00 04 44 61 74 61 02 00 00 00 10 40 00 09 42 69 67 45 6E 64 69 61 6E 02 00 02 00 09 18 7C 4B 00 06 43 72 65 61 74 65 00 00 40 13 40 00 03 16 B4 10 40 00 04 44 61 74 61 02 00 00 E4 10 40 00 0B 41 53 74 61 72 74 49 6E 64 65 78 02 00 00 00 10 40 00 09 42 69 67 45 6E 64 69 61 6E 02 00 02 00 00 00 00 90 14 40 00 14 0F 50 49 6E 74 65 72 66 61 63 65 45 6E 74 72 79 A8 14 40 00 02 00 00 AC 14 40 00 0E 0F 54 49 6E 74 65 72 66 61 63 65 45 6E 74 72 79 1C 00 00 00 00 00 00 00 00 04 00 00 00 40 13 40 00 00 00 00 00 02 03 49 49 44 02 00 00 11 40 00 10 00 00 00 02 06 56 54 61 62 6C 65 02 00 9C 10 40 00 14 00 00 00 02 07 49 4F 66 66 73 65 74 02 00 70 11 40 00 18 00 00 00 02 0A 49 6D 70 6C 47 65 74 74 65 72 02 00 02 00 00 00 1C 15 40 00 14 0F 50 49 6E 74 65 72 66 61 63 65 54 61 62 6C 65 34 15 40 00 02 00 00 38 15 40 00 0E 0F 54 49 6E 74 65 72 66 61 63 65 54 61 62 6C 65 C4 45 04 00 00 00 00 00 00 02 00 00 00 9C 10 40 00 00 00 00 00 02 0A 45 6E 74 72 79 43 6F 75 6E 74 02 00 00 00 00 00 04 00 00 00 02 07 45 6E 74 72 69 65 73 02 00 02 00 00 00 00 88 15 40 00 0E 07 54 4D 65 74 68 6F 64 08 00 00 00 00 00 00 00 00 02 00 00 00 00 11 40 00 00 00 00 00 02 04 43 6F 64 65 02 00 00 11 40 00 04 00 00 00 02 04 44 61 74 61 02 00 02 00 06 00 0B 18 7C 4B 00 0C 26 6F 70 5F 45 71 75 61 6C 69 74 79 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 0E 26 6F 70 5F 49 6E 65 71 75 61 6C 69 74 79 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 0F 26 6F 70 5F 47 72 65 61 74 65 72 54 68 61 6E 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 16 26 6F 70 5F 47 72 65 61 74 65 72 54 68 61 6E 4F 72 45 71 75 61 6C 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 0C 26 6F 70 5F 4C 65 73 73 54 68 61 6E 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 0B 18 7C 4B 00 13 26 6F 70 5F 4C 65 73 73 54 68 61 6E 4F 72 45 71 75 61 6C 00 00 00 10 40 00 02 12 84 15 40 00 04 4C 65 66 74 02 00 12 84 15 40 00 05 52 69 67 68 74 02 00 02 00 68 17 40 00 00 00 00 00 00 00 00 00 00 00 00 00 8C 1F 40 00 00 00 00 00 68 17 40 00 00 00 00 00 7E 18 40 00 08 00 00 00 00 00 00 00 B0 5D 40 00 B8 5D 40 00 14 60 40 00 0C 60 40 00 2C 60 40 00 30 60 40 00 34 60 40 00 28 60 40 00 88 5C 40 00 A4 5C 40 00 D8 5C 40 00 00 00 22 00 86 18 40 00 44 00 F4 FF AC 18 40 00 42 00 F4 FF D0 18 40 00 42 00 F4 FF F9 18 40 00 43 00 F4 FF 37 19 40 00 42 00 F4 FF 66 19 40 00 42 00 F4 FF 8F 19 40 00 43 00 F4 FF C3 19 40 00 43 00 F4 FF FC 19 40 00 43 00 F4 FF 27 1A 40 00 43 00 F4 FF 50 1A 40 00 43 00 F4 FF 7C 1A 40 00 43 00 F4 FF B8 1A 40 00 43 00 F4 FF F3 1A 40 00 43 00 F4 FF 2E 1B 40 00 43 00 F4 FF 74 1B 40 00 43 00 F4 FF B1 1B 40 00 42 00 F4 FF EB 1B 40 00 42 00 F4 FF 25 1C 40 00 42 00 F4 FF 6B 1C 40 00 43 00 F4 FF A9 1C 40 00 43 00 F4 FF DA 1C 40 00 43 00 F4 FF 0D 1D 40 00 43 00 F4 FF 41 1D 40 00 4A 00 F5 FF 74 1D 40 00 4A 00 F6 FF 9F 1D 40 00 4A 00 F7 FF D2 1D 40 00 4A 00 F8 FF 2D 1E 40 00 4A 00 F9 FF 5E 1E 40 00 4A 00 FA FF 8F 1E 40 00 4A 00 FB FF C8 1E 40 00 4A 00 FC FF 07 1F 40 00 4B 00 FD FF 32 1F 40 00 4A 00 FE FF 5E 1F 40 00 4D 00 FF FF 00 00 07 54 4F 62 6A 65 63 74 26 00 B8 5C 40 00 06 43 72 65 61 74 65 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 24 00 E8 5C 40 00 04 46 72 65 65 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 29 00 18 7C 4B 00 09 44 69 73 70 6F 73 65 4F 66 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 3E 00 F4 5C 40 00 0C 49 6E 69 74 49 6E 73 74 61 6E 63 65 03 00 88 1F 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 00 00 11 40 00 01 00 08 49 6E 73 74 61 6E 63 65 02 00 02 00 2F 00 4C 5D 40 00 0F 43 6C 65 61 6E 75 70 49 6E 73 74 61 6E 63 65 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 29 00 18 7C 4B 00 09 43 6C 61 73 73 54 79 70 65 03 00 14 13 40 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 34 00 E8 5B 40 00 09 43 6C 61 73 73 4E 61 6D 65 03 00 B8 12 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 40 B8 12 40 00 01 00 01 01 02 00 02 00 39 00 00 5C 40 00 0B 43 6C 61 73 73 4E 61 6D 65 49 73 03 00 00 10 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 B8 12 40 00 01 00 04 4E 61 6D 65 02 00 02 00 2B 00 7C 5C 40 00 0B 43 6C 61 73 73 50 61 72 65 6E 74 03 00 14 13 40 00 08 00 01 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 00 29 00 04 60 40 00 09 43 6C 61 73 73 49 6E 66 6F 03 00 00 11 40 00 08 00 01 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 00 2C 00 18 7C 4B 00 0C 49 6E 73 74 61 6E 63 65 53 69 7A 65 03 00 9C 10 40 00 08 00 01 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 00 3C 00 F0 5F 40 00 0C 49 6E 68 65 72 69 74 73 46 72 6F 6D 03 00 00 10 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 00 14 13 40 00 01 00 06 41 43 6C 61 73 73 02 00 02 00 3B 00 04 61 40 00 0D 4D 65 74 68 6F 64 41 64 64 72 65 73 73 03 00 00 11 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 12 E4 11 40 00 01 00 04 4E 61 6D 65 02 00 02 00 3B 00 A0 61 40 00 0D 4D 65 74 68 6F 64 41 64 64 72 65 73 73 03 00 00 11 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 B8 12 40 00 01 00 04 4E 61 6D 65 02 00 02 00 46 00 C8 61 40 00 0A 4D 65 74 68 6F 64 4E 61 6D 65 03 00 B8 12 40 00 08 00 03 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 00 00 11 40 00 01 00 07 41 64 64 72 65 73 73 02 00 40 B8 12 40 00 02 00 01 01 02 00 02 00 3D 00 18 7C 4B 00 12 51 75 61 6C 69 66 69 65 64 43 6C 61 73 73 4E 61 6D 65 03 00 B8 12 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 40 B8 12 40 00 01 00 01 01 02 00 02 00 3A 00 14 62 40 00 0C 46 69 65 6C 64 41 64 64 72 65 73 73 03 00 00 11 40 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 12 E4 11 40 00 01 00 04 4E 61 6D 65 02 00 02 00 3A 00 88 62 40 00 0C 46 69 65 6C 64 41 64 64 72 65 73 73 03 00 00 11 40 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 B8 12 40 00 01 00 04 4E 61 6D 65 02 00 02 00 46 00 BC 5D 40 00 0C 47 65 74 49 6E 74 65 72 66 61 63 65 03 00 00 10 40 00 08 00 03 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 12 40 13 40 00 01 00 03 49 49 44 02 00 20 00 00 00 00 02 00 03 4F 62 6A 02 00 02 00 3E 00 68 5E 40 00 11 47 65 74 49 6E 74 65 72 66 61 63 65 45 6E 74 72 79 03 00 8C 14 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 12 40 13 40 00 01 00 03 49 49 44 02 00 02 00 31 00 18 7C 4B 00 11 47 65 74 49 6E 74 65 72 66 61 63 65 54 61 62 6C 65 03 00 18 15 40 00 08 00 01 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 00 33 00 AC 5E 40 00 08 55 6E 69 74 4E 61 6D 65 03 00 B8 12 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 40 B8 12 40 00 01 00 01 01 02 00 02 00 34 00 18 7C 4B 00 09 55 6E 69 74 53 63 6F 70 65 03 00 B8 12 40 00 08 00 02 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 40 B8 12 40 00 01 00 01 01 02 00 02 00 33 00 B0 5D 40 00 06 45 71 75 61 6C 73 03 00 00 10 40 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 08 88 1F 40 00 01 00 03 4F 62 6A 02 00 02 00 2B 00 B8 5D 40 00 0B 47 65 74 48 61 73 68 43 6F 64 65 03 00 9C 10 40 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 33 00 14 60 40 00 08 54 6F 53 74 72 69 6E 67 03 00 B8 12 40 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 40 B8 12 40 00 01 00 01 01 02 00 02 00 5B 00 0C 60 40 00 11 53 61 66 65 43 61 6C 6C 45 78 63 65 70 74 69 6F 6E 03 00 28 13 40 00 08 00 03 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 08 88 1F 40 00 01 00 0C 45 78 63 65 70 74 4F 62 6A 65 63 74 02 00 00 00 11 40 00 02 00 0A 45 78 63 65 70 74 41 64 64 72 02 00 02 00 31 00 2C 60 40 00 11 41 66 74 65 72 43 6F 6E 73 74 72 75 63 74 69 6F 6E 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 31 00 30 60 40 00 11 42 65 66 6F 72 65 44 65 73 74 72 75 63 74 69 6F 6E 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 39 00 34 60 40 00 08 44 69 73 70 61 74 63 68 03 00 00 00 00 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 01 00 00 00 00 01 00 07 4D 65 73 73 61 67 65 02 00 02 00 3F 00 28 60 40 00 0E 44 65 66 61 75 6C 74 48 61 6E 64 6C 65 72 03 00 00 00 00 00 08 00 02 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 01 00 00 00 00 01 00 07 4D 65 73 73 61 67 65 02 00 02 00 2B 00 88 5C 40 00 0B 4E 65 77 49 6E 73 74 61 6E 63 65 03 00 88 1F 40 00 08 00 01 00 00 00 00 00 00 00 04 53 65 6C 66 02 00 02 00 2C 00 A4 5C 40 00 0C 46 72 65 65 49 6E 73 74 61 6E 63 65 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 27 00 D8 5C 40 00 07 44 65 73 74 72 6F 79 03 00 00 00 00 00 08 00 01 08 88 1F 40 00 00 00 04 53 65 6C 66 02 00 02 00 00 00 00 8C 1F 40 00 07 07 54 4F 62 6A 65 63 74 68 17 40 00 00 00 00 00 00 00 06 53 79 73 74 65 6D 00 00 00 00 02 00 00 00 00 00 08 20 40 00 00 00 00 00 00 00 00 00 00 00 00 00 24 20 40 00 00 00 00 00 08 20 40 00 00 00 00 00 0E 20 40 00 08 00 00 00 10 17 40 00 B0 5D 40 00 B8 5D 40 00 14 60 40 00 0C 60 40 00 2C 60 40 00 30 60 40 00 34 60 40 00 28 60 40 00 88 5C 40 00 A4 5C 40 00 D8 5C 40 00 00 00 00 00 00 00 10 54 43 75 73 74 6F 6D 41 74 74 72 69 62 75 74 65 00 24 20 40 00 07 10 54 43 75 73 74 6F 6D 41 74 74 72 69 62 75 74 65 08 20 40 00 88 1F 40 00 00 00 06 53 79 73 74 65 6D 00 00 00 00 02 00 00 00 00 A8 20 40 00 00 00 00 00 00 00 00 00 00 00 00 00 C0 20 40 00 00 00 00 00 A8 20 40 00 00 00 00 00 AE 20 40 00 08 00 00 00 B0 1F 40 00 B0 5D 40 00 B8 5D 40 00 14 60 40 00 0C 60 40 00 2C 60 40 00 30 60 40 00 34 60 40 00 28 60 40 00 88 5C 40 00 A4 5C 40 00 D8 5C 40 00 00 00 00 00 00 00 0D 57 65 61 6B 41 74 74 72 69 62 75 74 65 C0 20 40 00 07 0D 57 65 61 6B 41 74 74 72 69 62 75 74 65 A8 20 40 00 20 20 40 00 00 00 06 53 79 73 74 65 6D 00 00 00 00 02 00 00 00 40 21 40 00 00 00 00 00 00 00 00 00 00 00 00 00 5C 21 40 00 00 00 00 00 40 21 40 00 00 00 00 00 46 21 40 00 08 00 00 00 B0 1F 40 00 B0 5D 40 00 B8 5D 40 00 14 60 40 00 0C 60 40 00 2C 60 40 00 30 60 40 00 34 60 40 00 28 60 40 00 88 5C 40 00 A4 5C 40 00 D8 5C 40 00 00 00 00 00 00 00 0F 55 6E 73 61 66 65 41 74 74 72 69 62 75 74 65 00 00 5C 21 40 00 07 0F 55 6E 73 61 66 65 41 74 74 72 69") for i in range(len(xor_1)): print(hex(xor_1[i] ^ xor_2[i] ^ xor_3[i]),end=" ") ``` ![image](https://hackmd.io/_uploads/SyvkSXdaR.png) > flag: VCS{toi_yeu_em_chan_thanh_em_chup_man_hinh_gui_ban_cuoi_hahahahaha_x3.14} ## Forensic **For07** Bài này yêu cầu tìm Serial của USB bị nhiễm mã độc. ![image](https://hackmd.io/_uploads/B1qUJZGTC.png) Từ đây ta có thể thấy file được chạy vào ngày `29/09`, tìm trong file `USBDeview.html` có những thiết bị nào liên quan đến ngày đó, kết quả chỉ có 1 thiết bị liên quan đến ngày `29/09` ![image](https://hackmd.io/_uploads/HktmtWGTA.png) > flag: WXV2A43F9667 **For01** Đọc trong folder log được cấp, tại file `log_auth` xuất hiện như sau ![image](https://hackmd.io/_uploads/H1WTF-zTA.png) > flag: 10.0.44.0/24 **For03** Sử dụng tool sau [https://github.com/ANSSI-FR/bmc-tools](https://), sau parse ra 1 loạt các file bitmap, em thấy trong đó có 3 file có nội dung như sau ![image](https://hackmd.io/_uploads/HJ5CU7_6R.png) > flag: VCS{do_y0ur_b3st} **FOR04** Sau khi mount và trace 1 hồi, em thấy có 1 file shortcut như sau ![image](https://hackmd.io/_uploads/Bk67F7_aC.png) Vào `Properties` có đường dẫn như sau `C:\Program Files (x86)\Advanced IP Scanner\advanced_ip_scanner.exe` nhưng sub thử thì lại không đúng Có 1 file `Amcache.hve`, ta sử dụng tool của `ericzimmerman` là `AmcacheParse` để parse ra file `csv`. Trong các file được parse ra, file tên `Amcache_UnassociatedFileEntries.csv` có 1 path liên quan đến `advanced_ip_scanner.exe` như sau ![image](https://hackmd.io/_uploads/SkHRA7OTA.png) Check hash trên VirusTotal thì ra như sau ![image](https://hackmd.io/_uploads/SkCyJ4dpR.png) Sub thử thì kết quả trả về là Correct :v: > flag: c:\users\guest$\downloads\advanced_ip_scanner_2.5.3850.exe **FOR05** Sau 1 hồi không biết tìm ở đâu, em có search được ở 1 blog sau [https://www.huntandhackett.com/blog/advanced-ip-scanner-the-preferred-scanner-in-the-apt-toolbox](https://) ![image](https://hackmd.io/_uploads/ryp5gVdaA.png) ![image](https://hackmd.io/_uploads/BkzagNdpR.png) Như vậy chỉ cần đọc file `NTUSER.DAT` trong folder `Guest$` ![image](https://hackmd.io/_uploads/B15oZNdTC.png) > flag: 10.1.0.1-10.1.7.254 **FOR06** Sau khi parse log evtx bằng `EvtxxCmd` đọc log thì phát hiện có 1 URL lạ so với các URL khác và chỉ xuất hiện 2 lần. Em suy đoán rằng đây là ip củ máy chủ ta cần tìm ![image](https://hackmd.io/_uploads/Hk_gV4u6R.png) > flag: 10.3.0.41 ## Threat Analysis **Tier 1.1** Dựa vào log được cung cấp, em nhận thấy rằng trong thư mục `Downloads` có 1 file được tải về như sau, submit hash trên virustotal thì không có thông tin gì, có thể là mã độc cần tìm ![image](https://hackmd.io/_uploads/BJiuqYOaA.png) ![image](https://hackmd.io/_uploads/BJigiKuaC.png) Em submit thử và đúng > flag: 2d6b1e622ee6a9eed87154b3ccdf983b **Tier 1.2** Đọc log được cung cấp ở bài `Tier 1.1`, có 1 command được thực thi như sau ![image](https://hackmd.io/_uploads/HkjTsFd6C.png) Em kết luận công cụ thăm dò mà hacker tải về là nmap. Giờ chỉ cần tải file nmap từ link github kia về rồi submit hash của file đó là xong > flag: 378B2F7902074349E6AB20B8F0653459 **Tier 1.3** Từ dữ liệu từ bài `Tier 1.2` attacker tải và lưu file `nmap.exe` dưới tên `net_check.exe`. Em trace theo file `net_check.exe` thì phát hiện thông tin dưới đây ![image](https://hackmd.io/_uploads/SJm50tdaC.png) Thấy ngay được FQDN cần tìm là `DC01.evil.corp` > flag: DC01.evil.corp **Tier 2.1** Search theo id `a773c1b7368b5e5bd674054b8e3a0b51be40c25e881a8acfa750ad7f76b0d7a7` như đề cho, có thể thấy được ip server bị tấn công là ip này ![image](https://hackmd.io/_uploads/BykN-5OaC.png) > flag: 192.168.184.133 **Tier 2.2** Trace theo khoảng thời gian xunh quanh thời gian diễn ra id `a773c1b7368b5e5bd674054b8e3a0b51be40c25e881a8acfa750ad7f76b0d7a7`, vào khoảng thời gian `8/27/2024 10:49:40` có 1 ip cùng lớp Mạng với ip tấn công ở ip `a773c1b7368b5e5bd674054b8e3a0b51be40c25e881a8acfa750ad7f76b0d7a7` ![image](https://hackmd.io/_uploads/BySH7qO6A.png) > flag: 149.88.106.131 **Tier 2.3** Do đề cho ta thông tin là attacker lấy thông tin để login để đăng nhập vào trang web. Em giả định là kẻ xấu sẽ khai thác lỗ hổng SQLi để dump cred ra và trace theo hướng đó. Show dashboard log ra rồi tra theo key là `password` xuất hiện được thông tin như sau ![image](https://hackmd.io/_uploads/ByzF8cOTR.png) > flag: /dashboard.php?id=-3457%27%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CCONCAT%280x7162627071%2CJSON_ARRAYAGG%28CONCAT_WS%280x76677662626e%2Caddress%2Ccontact_number%2Cemail%2Cid%2Cpassword%2Cusername%29%29%2C0x7176707071%29%2CNULL%2CNULL%2CNULL%20FROM%20darkhole_2.users--%20- **Tier 3** Trace ip `103.97.126.29` trên VirusTotal, sau khi ngồi xem hơn 100 cái domain, em thấy có 1 domain này có cần pass, làm em nhớ đến web của anh `hainh45` cũng na ná kiểu này =))) ![image](https://hackmd.io/_uploads/rkdbZsOp0.png) ![image](https://hackmd.io/_uploads/B1JHWiOaA.png) Em vứt lên Wayback machine xem có biết thêm được thông tin gì thêm không, thì ố. Có flag luôn =)) ![image](https://hackmd.io/_uploads/rkfzGi_TR.png) > flag: flag{L0N9_lIved_I3lue_tEaM} ## Content **Deep Within Me** Kiểm tra file pcap.pcap phát hiện có 1 file “script.ps1”: ![image](https://hackmd.io/_uploads/ry3VVi_pA.png) Có vẻ như credential đã bị leak. Kiểm tra thêm các gói tin thấy có xuất hiện “POST /wsman”, có vẻ attacker đã xâm nhập từ trước và sử dụng WinRM để điều khiển máy nạn nhân. Bên cạnh đó tìm thêm được TCP stream (tcp.stream eq 112) có nội dung file output.zip chứa file SAM, SECURITY VÀ SYSTEM. Tiến hành extract raw file zip, file có đặt pass và không crack bằng dictionary đã cho được. Tiến hành điều tra thêm traffic network. ![image](https://hackmd.io/_uploads/r1SLNida0.png) Sau khi tìm hiểu thêm tìm được tool [github.com/mlgualtieri/NTLMRawUnHide/blob/master/NTLMRawUnHide.py](https://), parse hết hash NTLMv2 trong traffic ra, sử dụng rockyou.txt đã cho để crack thu được pass của user local_admin là “4G1RL1CUPS”. Tiếp tục dùng tool [github.com/h4sh5/decrypt-winrm](https://) decrypt traffic bằng pass ở trên ta thu được nội dung các traffic winrm. ![image](https://hackmd.io/_uploads/SySXBo_aR.png) Search nội dung đã dump ra theo `</rsp:CommandLine>` thu được các block command bị base64 encoded. Sau khi decode thu được 1 dòng lệnh nén 3 file reg ở trên bằng 7zip, command bao gồm cả password của file zip là `NSFW_SSIS_313` ![image](https://hackmd.io/_uploads/HkuLHsd6A.png) ![image](https://hackmd.io/_uploads/HJevrs_pA.png) Sau đó giải nén file và sử dụng 3 file reg trên cùng với impacket-secretsdump để dump credentials, ta có được hash của user Datnt09 ![image](https://hackmd.io/_uploads/SJ5OBoupA.png) > flag: 7c7b12c49fd695fb7b8411d4aca018ca **Trapped** Từ dữ kiện đề bài cho `Link-Local Multicast Name Resolution` search theo từ khóa này em tìm thấy link sau [www.cynet.com/attack-techniques-hands-on/llmnr-nbt-ns-poisoning-and-credential-access-using-responder/](https://) Theo em đọc dựa trên link này, có nhiều nguyên nhân dẫn đến việc kẻ xấu có thể khai thác, attacker chỉ cần treo ở đó lắng nghe ntlm, đợi nạn nhân gửi thông tin đến là bú, sau đó gửi 1 phản hồi giả mạo để đánh lừa nạn nhân ![image](https://hackmd.io/_uploads/H1EMc0K6R.png) ![image](https://hackmd.io/_uploads/SyBW60YTR.png) Thêm vào đó, em nhận thấy trong gói tin có giao thức SMB. Có thể phỏng đoán rằng victim thực hiện truy vấn đến DNS bị sai, attacker lắng nghe được và gửi phản hồi giả về cho victim ![image](https://hackmd.io/_uploads/B197yy5TR.png) Tại thời điểm gói tin `28389` kia, là lần đầu tiên victim gửi xác thực đến DNS sai, bên dưới còn 2-3 lần xác thực nhưng bị `access denied` nữa > flag: VCS_CTF{28389_10_10_5_101} **Yara** Em cho hết tất cả các file lên VirusTotal, lấy community yara rules của các file rồi merge chúng lại, rồi modify dần cho đến khi lấy được flag. Nhưng khi em sub thử với rule của con đầu tiên đã match hết rồi @@ ![image](https://hackmd.io/_uploads/HyHOSJcT0.png) ![image](https://hackmd.io/_uploads/BkKBBJc6C.png) `payload` ``` rule exp {strings: $a1 = { 60 89 E5 31 C0 64 8B 50 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF AC 3C 61 7C 02 2C 20 } condition: $a1} ``` > flag: VCS_CTF{Make_Blue_Bluer} ## Lời cuối Em muốn cảm ơn anh `hainh45` và các anh khác thuộc ban tổ chức khác đã tạo ra 1 sân chơi để em có thể cọ sát và bước đầu tiếp cận đến với các sự cố real case, qua đó ứng dụng vào công việc sau này `Bonus` ![image](https://hackmd.io/_uploads/BkJUvXuTC.png) Em cũng phải cảm ơn 2 thanh niên `quantm15` và `huylm10` đã cho em thêm động lực solve hết các challenge để vừa khít đứng thứ 10 =)))))