不要在实体机上运行提取出来的 exe ！！！！！！！！！！！这是恶意软件！！！！！！！！！！！！

不要在实体机上运行提取出来的 exe ！！！！！！！！！！！这是恶意软件！！！！！！！！！！！！

不要在实体机上运行提取出来的 exe ！！！！！！！！！！！这是恶意软件！！！！！！！！！！！！

故事发生在一个普通的办公室。Luminoria 的同事，我们称他为 Paff，不幸成为了这次攻击的 “0号病人”。

有一天，Paff 收到了一个伪装成客户合同的钓鱼邮件，并运行了其中的恶意附件。他电脑上的杀毒软件没能识别这个新型病毒，很快，他的电脑就被攻击者完全控制。这是一个 C2 程序，黑客可以利用这个程序进行内网渗透。

Luminoria 的单位给他配了一台工作电脑，虽然它的配置很高，但是 Luminoria 是个恋旧的人，他偏偏是钉子户，他安装的系统为远古科技 Windows 10 x64 Professional 1511（2016年4月），并且没有启用 Windows Update。

在 2114 年 5 月 12 日（周五），Luminoria 下班后，没有将电脑关机，而是进行了锁屏以后，就直接离开公司了。因为攻击者对 Luminoria 的公司非常的熟悉，所以他选择在大家都下班以后，发动蠕虫病毒进行内网横向渗透攻击。好巧不巧，Luminoria 的电脑中招了。

2114 年 5 月 14 日（周一），Luminoria 回到了公司，发现自己放在桌面上的重要数据文件变成乱码了，这可把 Luminoria 急坏了！

你是公司的应急响应专家，现在拿到了 Luminoria 电脑在文件被加密期间的内存镜像。IT 团队已经定位到攻击流量来自 Paff 的电脑，但他们需要你来分析 Luminoria 电脑上究竟发生了什么。你需要从内存中找出加密程序运行时留下的关键证据，特别是用于加密文件的密钥，以便尝试恢复被锁定的文件。

1. 攻击者在 Luminoria 的电脑上新建了一个用户，这个用户叫什么？（例如 ExampleAccount）
2. 攻击者使用的是什么漏洞进行攻击的？（CVE-YYYY-XXXX，例如CVE-2025-8088）
3. 攻击者在电脑上留下的加密密钥是什么？（不带空格的十六进制，全大写）
4. Luminoria 的重要数据文件中有一段非常重要的密钥，请你找到它

作答的时候需要将四个问题的答案用下划线连接后，套上 flag{} 头进行作答，假设答案为 ExampleAccount CVE-2025-8088 AABBCCDD thiS-iS-4_t0k3n，那么最后作答的答案应该为 flag{ExampleAccount_CVE-2025-8088_AABBCCDD_thiS-iS-4_t0k3n}

附件下载地址：https://lumin3-my.sharepoint.com/:u:/g/personal/ctfbucket_lumin3_onmicrosoft_com/ESvFKyMjrtBDncKofvGFL_gB_VOhpABYxx0XI5n19lxnyw?e=HH7QLJ

解压密码：508e5a47-c8e9-4a40-8b72-628931492b32