Win32 DLL
-Kernel32.dll-
메모리 관리, 파일, 하드웨어 접근, 입출력 명령, 프로세스와 스레드 생성 등의 기능을 하는 API가 들어있다. Win32 프로그램 동작을 수행하는데 핵심적인 api들이 많이 들어있어 자주 사용하는 dll이다.
-Advapi32.dll-
서비스 관리자, 레지스트리 같은 추가적인 핵심 윈도우 컴포넌트에 접근할 수 있다.
-User32.dll-
창, 메뉴 같은 윈도우 사용자 인터페이스의 표준 요소들을 생성하고 다룬다. 또한 gui를 구현할 수 있게 해주고, 사용자 행위 제어와 반응 컴포넌트 등 모든 사용자 인터페이스 컴포넌트를 담고 있다.
-Gdi32.dll-
그래픽 장치 인터페이스(GDI) 함수들이 있다. 그래픽 조작 관련 api들이 들어있다 생각하면 될 것 같다.
-Ntdll.dll-
윈도우 커널 인터페이스다. 항상 kernel32.dll을 통해 간접적으로 import한다. 실행 파일은 일반적으로 이 dll을 직접적으로 import할 수 없다고 한다. 이 때문에 실행파일이 이 dll을 import한다면 제작자가 윈도우 프로그램에 일반적으로 허용된 기능을 사용하지 않는다는 뜻이 된다.
기능을 숨기거나 프로세스를 조작하는 등의 특정 작업에 이 dll을 이용한다.
-WSock32.dll & Ws2_32.dll-
네트워크, 소켓 관련 dll이다. 이 dll을 사용하는 프로그램은 네트워크 연결 등 네트워크 관련 작업을 수행할 가능성이 높다.
-Wininet.dll-
FTP, HTTP, NTP 같은 프로토콜을 구현한 상위 수준의 네트워크 함수를 담고 있는 dll이다.
-Comctl32.dll-
파일 열기, 저장, 상태바 등의 윈도우 표준 컨트롤을 구현해주는 api가 있는 dll이다. (예를들면 notepad에서 ctrl + s를 눌렀을 때 다른 이름으로 저장 팝업이 뜨는 것을 말한다.)
-Msvcrt.dll, Msvcpp.dll, Crtdll.dll-
런타임 라이브러리다. c, c++ 언어로 만들어진 프로그램이 요구하는 라이브러리 함수 집합들을 제공한다고 한다.
그저 c, c++ 언어로 만들어진 프로그램이 동작하기 위해 필요한 dll이라고 생각하면 될 것 같다.
추가예정
Win32 API
추가예정
-참고
실전 악성코드와 멀웨어 분석 - 마이크 시코스키, 엔드류 호닉
'Old (2021.01 ~ 2021.12) > Malware' 카테고리의 다른 글
| Lab01-01.exe / Lab01-01.dll (0) | 2021.07.27 |
|---|---|
| 악성코드의 유형 정리 (0) | 2021.07.21 |
