DC3 Challange

큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리자는 그 고용인의 시스템을 모니터 하여 그 사용자가 Virtual Machine을 사용하는 것을 알아냈다. 고용인은 그 시스템을 Suspend 하고 있었기에 그 vmem의 정보를 수집했다.

 

1. 이미지가 만들어질 때 로컬 날짜와 시간은 언제인가?

 

그림 1-1 imageinfo

 

정답: 2011-05-18 17:27:48

 

2. 어떤 OS를 사용하고 있었는가? 

 

그림 1-2 imageinfo

 

정답: WinXPSP2X86 / WinXPSP3x86

 

3. 어떤 프로세스들이 동작 중이었나(pid와 함께 작성)? 

 

그림 1-3 psxview

 

정답: msimn.exe(1128), IEXPLORE.EXE(1088), sol.exe(672), msmsgs.exe(1196)

 

4. 어떤 프로세스들로 인해서 고발당해야 하는가? 

 

그림 1-4 psxview

 

정답: game - sol.exe, massage - msmsgs.exe, 메일 - msimmn.exe

 

5. 활동중인 윈도우 창을 스크린 샷으로 증명하라.

 

그림 1-5 screenshot

그림 1-6 증명