mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
ce43700162
commit
9a388747ae
@ -253,6 +253,24 @@ Emotetのc2通信部分のエミュレータ<br>
|
||||
- IATは展開ルーチンでローダによってそのときの実際のAPIのアドレスに書き換えられているため,ロード前に戻す必要がある
|
||||
- PEヘッダはパックされたコードのIATを示しているので,新たににインポートセクションを追加し,そのセクションを認識するようにPEヘッダを修正する
|
||||
- 基本的にツールを用いる
|
||||
### [Microsoft Windows Library](https://en.wikipedia.org/wiki/Microsoft_Windows_library_files)
|
||||
- NTDLL.DLL
|
||||
- Windows Native APIを提供
|
||||
- Native APIはKERNEL32.DLLによってエクスポートされるKernel APIやbase APIの多くで使用されている
|
||||
- Windows applicationから直接的に呼ばれることはほとんどない
|
||||
- 公式ではドキュメント化されていないが,[こちら](https://undocumented.ntinternals.net/)からある程度確認可能
|
||||
- KERNEL32.DLL
|
||||
- メモリ操作,入出力,プロセスやスレッド管理,同期処理を行うWin32 base APIを提供する
|
||||
- USER32.DLL
|
||||
- GUIなどユーザインターフェース関連のAPIを提供
|
||||
- MSVCRT.DLL
|
||||
- ランタイム(CRT)ライブラリ
|
||||
- MSVCコンパイラ用の標準C関数等(printf,malloc,etc.)の提供
|
||||
- [Microsoft's C++ Standard Libraryのソースコード](https://github.com/llvm/llvm-project/tree/47282b1b4bf3e18d2e2166b87159115ed520a2aa)
|
||||
- ref about crt:
|
||||
- [exeファイルとCRT - EternalWindows](http://eternalwindows.jp/else/exe.html)
|
||||
- [C Run-Time Library Reference](https://docs.microsoft.com/en-us/cpp/c-runtime-library/c-run-time-library-reference?view=vs-2019)
|
||||
|
||||
### Symbolic Execurtion
|
||||
to do...
|
||||
|
||||
|
Loading…
Reference in New Issue
Block a user