Kernel32.dll : 메모리 관리, 파일 입/출력, 프로그램 코드/실행 등 기본적인 기능이 내장되어 있다.
Windows NT부터는 Kernel32.dll은 트램펄린 역할만을 하며 실제 기능은 ntdll.dll이 가지고 있다.
(kernel32.dll ->kernelBase.dll -> ntdll.dll)
GDI32.dll : 화면/프린터의 그래픽 출력을 관리한다.(Graphic Device Interface) 그래픽 관련 함수
USER32.dll : 윈도우, 대화 상자, 메뉴 등을 관리한다.
ADVAPI32.dll : 서비스 관리자나 레지스트리 같은 추가 핵심 윈도 컴포넌트에 접근 가능, 레지스트리, 시스템 종료와 재시작, 윈도의 서비스의 시작/종료/생성, 계정 관리 등의 기능 지원
SHELL32.dll : 어떤 운영체제의 쉘이라는 것은 운영체제의 사용자가 컴퓨터의 각종 애플리케이션들을 실행시키거나 중지시키고, copy, delete, move, rename 등의 동작을 할 수 있도록 운영체제와 사용자의 중간에 있는 운영체제의 구성 프로그램을 말한다 (Kernel Shell User, 커널과 유저 사이에서 중계자 역할)
WINMM.dll : 멀티미디어 관련 기능들을 넣으려고 할 때 꼭 필요한 DLL이다. 사운드 관련된 함수들과 비디오 관련 함수들이 있다.(딱히 관련이 없을 거 같기는 합니다 악성코드가 실행되게 되면은 소리를 내지 않는다면은요)
Ntdll.dll : 윈도 커널 인터페이스이다. 항상 간접적으로 Kernel32.dll을 통해 임포트하지만, 실행 파일은 일반적으로 이 파일을 임포트 할 수 없다. 실행 파일이 이 파일을 임포트 한다면 이는 작성자가 윈도우 프로그램에 일반적인 허용된 가능으로 사용하지 않는다는 의미다. 기능을 숨기거나 프로세스를 조작하는 등의 특정 작업에 이 인터페이스를 이용한다.
Wininet.dll : 네트워크 기능, FTP, HTTP 같은 프로토콜을 구현한 상위 수준의 네트워크 함수를 가짐
WS2_32.dll / WSOCK32.dll / wsgtpip.dll
네트워크 기능, 네트워크에 연결하거나 네트워크 관련 작업을 수행
Comctl32.dll : 상태바, 진행 바, 툴바 등과 같은 운영체제에서 지원하는 기능에 대한 응용프로그램의 접근을 지원
Netapi32.dll : 운영체제에서 지원하는 다양한 통신 기능을 응용 프로그램이 접근할 수 있도록 지원하는 기능
'악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] 악성코드 분석 방법 (0) | 2019.12.20 |
|---|