問題
解いてみた
メモリファイルをダウンロードして、volatilityで解析します。
まずはimageinfoします。
先頭がWin7SP1x86_23418になってますが、問題文から2番目のWin7SP0x86が正しいと思われます。
connectionsかconnscanで通信見れるか確認したもののこのプロファイルには対応してませんでした。
netscanをしてみます。
大量に出てきましたが、いずれにせよグローバルIPへの通信はありませんでした。
が、iexplore.exeが通信している相手が全部192.168.100.50であることを考えると、192.168.100.50はプロキシのようなものなんじゃないかなと思いました。
192.168.100.50に通信しているiexplore.exe以外のプロセスはservices.exeがあったのでこのpidを入力すると正解でした。