악성코드 분석가가 주로 보게 되는 윈도우 함수 2

* CreateService

 부팅 시간에 시작할 수 있는 서비스를 생성한다. 악성코드는 CreateService를 이용해 영구적인 설치, 은폐하거나 커널 드라이버를 로드한다.

* CreateToolhelp32Snapshot

 프로세스, 힙, 스레드, 모듈 스냅샷을 생성할 때 사용한다. 악성코드는 이 함수를 프로세스나 스레드를 통해 반복하는 코드 일부로 사용한다.

* CryptAcquireContext

 종종 윈도우 암호 사용을 초기화하는 악성코드가 이용하는 첫 번째 함수다. 암호화와 관련한 다른 함수가 많이 존재하는데, 대부분 Crypt로 시작한다.

* DeviceIoControl

 사용자 공간에서 장치 드라이버로 제어 메시지를 전송한다. DeviceIoControl은 커널 기반의 악성코드가 가장 자주 이용하는데, 이는 쉽고 사용자 공간과 커널 공간 사이에서 정보를 주고받는 유연한 방법이기 때문이다.

* DllCanUnloadNow,  DllGetClassObject, DllInstall, DllRegisterServer, DllUnregisterServer

 프로그램이 COM 서버를 구현하고 있다는 사실을 알 수 있는 익스포트 함수다.

* EnableExecuteProtectionSupport

 호스트의 데이터 실행 보호(DEP:Data Execution protection) 설정을 수정할 때 사용하는 비공식적인 API 함수로 공격을 좀 더 용이하게 한다.

* EnumProcesses

 시스템에 사용 중인 프로세스를 나열하는 데 사용한다 악성코드는 인젝션할 프로세스를

찾기 위해 프로세스를 종종 나열한다.

* EnumProcessModules

 특정 프로세스가 로드한 모듈(실행 파일과 DLL)을 나열하는 데 사용한다.

* FindFirstFile/FindNextFile

 디렉토리를 통해 검색하고 파일 시스템을 나열하는 데 사용한다.

* FindResource

 실행 파일이나 로드한 DLL에서 리소스를 찾는 데 사용한다. 악성코드는 때때로 문자열, 설정 정보, 악의적인 파일을 저장할 때 리소스를 사용한다. 이 함수의 사용 흔적이 보이면 악성코드의 PE 헤더 내에 있는 .rsrc 섹션을 확인해보자.

* FindWindow

 데스크톱에서 오픈한 윈도우를 찾는다. 이 함수는 때때로 OllyDbg 윈도우를 검색하는 안티디버깅 기법으로 사용한다.

* FtpPutFile

 원격 FTP 서버로 파일을 업로드할 때 사용하는 상위 수준의 함수이다.

* GetAdaptersInfo

 시스템에서 네트워크 어댑터에 관한 정보를 획득할 때 사용한다. 백도어는 때때로 GetAdaptersInfo를 호출해 감염 시스템 관련 정보를 일부 수집하는 용도로 사용한다. 일부 경우에는 안티가상머신 기법의 일부로 VMware의 MAC 주소 확인에 사용하기도 한다.

* GetAsyncKeyState

 특정 키를 눌렀는지 여부를 확인할 때 사용한다. 악성코드는 때때로 이 함수를 이용해 키로거를 구현한다.

* GetDC

 윈도우 장치 컨텍스트 핸들이나 전체 화면을 반환한다. 화면을 캡처하는 스파이웨어는 이 함수를 이용한다.