The VBscript found in question 204 launches 121214.tmp. What is the ParentProcessId of this initial launch?
질문 204에서 찾은 VBscript는 121214.tmp를 시작합니다. 이 초기 실행의 ParentProcessId는 무엇입니까?
#204의 실행 쿼리문은 다음과 같았다.
host="we8105desk" "*.exe*"
| foreach * [| eval <<FIELD>>=if(like(<<FIELD>>,"%.exe%"),<<FIELD>>,null())]
| dedup CommandLine, ParentCommandLine
| table CommandLine, ParentCommandLine
SQL
복사
사진에서 보면 바로 위에 121214.tmp가 보인다. 다시 검색해서 살펴보자.
프로세스 id를 요구했으므로 다음과 같이 검색한다.
host="we8105desk" ("121214.tmp" OR "20429.vbs")
| dedup CommandLine,process,process_id,ParentProcessId, ParentCommandLine, parent_process
| table CommandLine,process,process_id,ParentProcessId, ParentCommandLine, parent_process
SQL
복사
프로세스 ID를 따라가기 어려워 다시 검색했다.
host="we8105desk" ("121214.tmp" OR "20429.vbs")
| dedup CommandLine,process,process_id,ParentProcessId, ParentCommandLine, parent_process
| table CommandLine,process,process_id,ParentProcessId, ParentCommandLine, parent_process
SQL
복사
•
3884 → 3968 → 1476 → 2948 → 3828 → 3836
당연히 121214.tmp의 상위인 1476이라 생각했지만 오답이어서 더 최상위를 원하는건가?
3884를 입력했지만 오답이었다.
3968을 입력했더니 정답이었는데 잘 살펴보니 다음과 같았다.
“initial launch”의 부모 프로세스 ID를 요구했기 때문에. 문제를 어떻게 받아들이느냐에 따라 너무 문맥이 달라지지만 정답은 3968이다.
