본문 바로가기
기본 - 악성 코드 분석/메모리 관련 API

메모리 관련 API

by 발라먹는 보안 2020. 10. 18.
CreateFileMapping 파일을 메모리로 로드하는 파일 매핑 핸들을 생성하고 메모리 주소를 통해 접근할 수 있게 한다.
실행기, 로더, 인젝터는 이 함수를 이용해 PE 파일을 읽고 수정한다.
GetProcAddress 메모리로 로드한 DLL에서 함수 주소를 검색
FindResource  리소스 찾기
SizeofResource 리소스 크기 확인
LoadResource 가상 메모리 포인터 반환
LockResource LoadResource한 메모리 실제 포인터 반환
MapViewOfFile 메모리로 파일을 매핑해서 메모리 주소를 통해 파일 내용에 접근할 수 있게 함, 수정 가능
ReadProcessMemory 원격 프로세스 메모리를 읽을 때 사용
Toolhelp32ReadProcessMemory 원격 프로세스 메모리를 읽을 때 사용
VirtualAllocEx 원격 프로세스에서 메모리를 할당할 수 있는 메모리 할당 루틴
VirtualProtectEx 메모리 지역 보호를 변경. 메모리 읽기 전용섹션을 실행 가능하게 변경
VirtualFree 가상 메모리 해제