CreateFileMapping | 파일을 메모리로 로드하는 파일 매핑 핸들을 생성하고 메모리 주소를 통해 접근할 수 있게 한다. 실행기, 로더, 인젝터는 이 함수를 이용해 PE 파일을 읽고 수정한다. |
GetProcAddress | 메모리로 로드한 DLL에서 함수 주소를 검색 |
FindResource | 리소스 찾기 |
SizeofResource | 리소스 크기 확인 |
LoadResource | 가상 메모리 포인터 반환 |
LockResource | LoadResource한 메모리 실제 포인터 반환 |
MapViewOfFile | 메모리로 파일을 매핑해서 메모리 주소를 통해 파일 내용에 접근할 수 있게 함, 수정 가능 |
ReadProcessMemory | 원격 프로세스 메모리를 읽을 때 사용 |
Toolhelp32ReadProcessMemory | 원격 프로세스 메모리를 읽을 때 사용 |
VirtualAllocEx | 원격 프로세스에서 메모리를 할당할 수 있는 메모리 할당 루틴 |
VirtualProtectEx | 메모리 지역 보호를 변경. 메모리 읽기 전용섹션을 실행 가능하게 변경 |
VirtualFree | 가상 메모리 해제 |
기본 - 악성 코드 분석/메모리 관련 API