可以脚本去混淆得到源码，但我还没研究出来 这里用文件监测 处理样本文件： 为虚拟机设置允许执行脚本： Set-ExecutionPolicy Bypass（Powershell管理员） “是”执行 打开Process Monitor监视器，设置过滤 运行样本 PS C:\Windows\system32> cd "D:\下载\CTF附件\vnctf2024 re\baby_c