東華杯-Misc250-面具-writeup（zip僞加密）

三步：提取-分析-解密
第一步：提取
壓縮包加密有一種僞加密的方法，首先我們需要先了解一下zip文件的格式信息。
一個 ZIP 文件由三個部分組成：
壓縮源文件數據區+壓縮源文件目錄區+壓縮源文件目錄結束標誌
其中：
壓縮源文件目錄區：
50 4B 01 02：目錄中文件文件頭標記(0x02014b50)
3F 00：壓縮使用的 pkware 版本
14 00：解壓文件所需 pkware 版本
00 00：全局方式位標記（有無加密，這個更改這裏進行僞加密，改爲09 00打開就會提示有密碼了）
08 00：壓縮方式
我們用010editor打開壓縮包，搜索14 00 09 00，發現果然存在

將14 00 09 00修改爲14 00 00 00後打開，可以提取出flag.vmdk
第二步：分析
很明顯，這是一個磁盤取證分析環節，先下載安裝好磁盤取證工具AccessData FTK Imager（http://download.csdn.net/download/streetmilk/5238752），或者其他工具也行。直接打開，可以發現兩個文件：


第三步：解密
可以看到兩個文件裏面的內容爲brainfuck跟Ook編碼，直接在線解密即可得到結果
https://www.splitbrain.org/services/o