fast-flux.example.com の名前解決要求と応答の通信経路を選択する問題で、FPサーバーからコンテンツサーバーまでの経路「e, g, h, f」が答えとなっておりますが、なぜこの経路なのでしょうか？

C＆Cサーバーへ接続する際に経由するボットのアドレスを取得するために、「マルウェアが侵入したＮＰＣ」からコンテンツサーバーへの問い合わせがある認識でいます。

>C＆Cサーバーへ接続する際に経由するボットのアドレスを取得するために、「マルウェアが侵入したＮＰＣ」からコンテンツサーバーへの問い合わせがある認識でいます。 

表1より部署LANからインターネット上のDNSサーバへの通信はFWで許可されていません。
よって、NPCからexample.comドメインコンテンツサーバへの問い合わせはできません。

PCにプロキシサーバの経由の設定がある場合、マルウェアは、外部への通信の可能性を高めるため、PCの設定に準拠し、プロキシサーバ経由でのHTTPアクセスを考えます。

PCがプロキシサーバ経由でHTTPアクセスをする場合、PCの通信相手は、プロキシサーバです。図4の構成の場合、NPCの宛先IPアドレスはFPサーバとなります。
NPCの宛先IPアドレスは確定しているため、fast-flux.example.comに対し名前解決要求はしません。

NPCは、HTTPリクエストの情報をFPに託しますので、FPはそのリクエストを代行し、fast-flux.example.com のクエリーをDNSサーバ2に投じます。

すみません、返事遅れてしまいました。
丁寧な解説ありがとうございます！

「PCにプロキシサーバの経由の設定がある場合、マルウェアは、外部への通信の可能性を高めるため、PCの設定に準拠し、プロキシサーバ経由でのHTTPアクセスを考えます。」
こういった考えまでいたっていませんでした。

マルウェアの動きとかについても勉強しようと思います。