Привет любителям шуток и задач на Antichat!
Разберем довольно простенькую задачку из радела форенизика. (Рассмотрим несколько вариантов решения)

Получил на почту какую-то презентацию от незнакомца. Скачал, но открыть забыл. Только потом понял, что кажется вирусняк подхватил
__________________________________________________ __________________________________________________ _____
Для начала получим нашу смешную презентацию.



Вариант 1 - Базовый string or cat
Так как нам сказали про вирусняк, то логично будет посмотреть, что там внутри презентации, для этого сделаем из нее архив



В самом архиве увидим кучу файлов, которые связанны с изображениями в презентации и самими слайдами, но среди всего этого обилия мы найдем один очень интересный файл (и да в картинках нет стеги, вроде как....)



Понимаем, что перед нами макрос и далее будем работать с ним. Достанем его из архива (можно и все файлы достать, но это лишнее)

Теперь посмотрим на него поближе и попробуем просто использовать cat:
Наблюдаем много шума, но можем выделить некоторые названия и их значения:ActiveDocument.Variables.Add ,Const.
Поочередно пропустим их через базу64
И в итогу натыкаемся на интересный ответ.



Останется чучуть додумать и можно радоваться флагу.

Вариант 2
В этот раз не будем потрошить нашу презентацию.
Просто откроем ее.



Делаем перерыв на AAHAHAHAH и идем решать. Нам надо найти зловред, для этого ныряем на вкладку "макросы"



Открываем нужный, переменная с 64 сразу попадается на глаза, хватаем ее и декодируем, чешем голову... Немного думаем и получаем флаг
Вариант 3 Для истинных любителей покопаться.
Загялнули в хинт на сайте:

• Начни деобфусцировать зловред!

Проделываем все пункты как в первом варианте до команды cat.
И приходим к решению, что мы ходим посмотреть детально на данный макрос, и в этом нам поможет тулза



На самом деле флаг --decode может немного запутать, но я думаю вы сможете найти нужную строчку и добыть из нее ответ.

На этом все, как говориться "СПАСИБО ЗА ВНИМАНИЕ!"
P.s Мой первый райтап не судите строго