CHIqueen

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..