Memory - GrrCON 2015 #16

일단 원격 접근을 했다는 것을 알수 있고, 연결한 IP주소를 찾는 것이기 때문에 네트워크를 볼 필요가 있습니다.

 

netscan 플러그인을 이용해서 확인해 보면 아래와 같이 IP와 프로그램을 알수 있습니다.

 

mstsc.exe 라는 프로그램에 10.1.1.21 이라는 IP가 연결 되어 있는데 mstsc.exe 는 Microsoft Windows의 소프트웨어 구성 요소로 Microsoft 터미널 서비스 클러이언트 원격 관리 서비스 입니다.

 

그렇기 때문에 답은 10.1.1.21 입니다.

 

Flag : 10.1.1.21

 

출처 : 디지털 포렌식 with CTF