diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 6187f84..7e0cf82 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -253,6 +253,24 @@ Emotetのc2通信部分のエミュレータ
- IATは展開ルーチンでローダによってそのときの実際のAPIのアドレスに書き換えられているため,ロード前に戻す必要がある - PEヘッダはパックされたコードのIATを示しているので,新たににインポートセクションを追加し,そのセクションを認識するようにPEヘッダを修正する - 基本的にツールを用いる +### [Microsoft Windows Library](https://en.wikipedia.org/wiki/Microsoft_Windows_library_files) +- NTDLL.DLL + - Windows Native APIを提供 + - Native APIはKERNEL32.DLLによってエクスポートされるKernel APIやbase APIの多くで使用されている + - Windows applicationから直接的に呼ばれることはほとんどない + - 公式ではドキュメント化されていないが,[こちら](https://undocumented.ntinternals.net/)からある程度確認可能 +- KERNEL32.DLL + - メモリ操作,入出力,プロセスやスレッド管理,同期処理を行うWin32 base APIを提供する +- USER32.DLL + - GUIなどユーザインターフェース関連のAPIを提供 +- MSVCRT.DLL + - ランタイム(CRT)ライブラリ + - MSVCコンパイラ用の標準C関数等(printf,malloc,etc.)の提供 + - [Microsoft's C++ Standard Libraryのソースコード](https://github.com/llvm/llvm-project/tree/47282b1b4bf3e18d2e2166b87159115ed520a2aa) + - ref about crt: + - [exeファイルとCRT - EternalWindows](http://eternalwindows.jp/else/exe.html) + - [C Run-Time Library Reference](https://docs.microsoft.com/en-us/cpp/c-runtime-library/c-run-time-library-reference?view=vs-2019) + ### Symbolic Execurtion to do...