네트워크 통신을 파악하기 위한 첫 단계는 통신을 수행하기 위해 사용되는 시스템 호출을 실제적으로 찾는 것이다. 가장 일반적인 파위 레벨의 함수는 윈도우 소켓 (Winsock)의 한 부분이다. 이 API를 사용하는 악성코드는 일반적으로 WSAStartup, getaddrinfo, socket, connect, send, recv, WSAGetLastError 같은 함수를 사용한다.
악성토드가 대신 윈도우 인터넷(WinINet)을 출하는 상위 레벨의 API를 사용할 수도 있다. WinINet API를 사용하는 악성코드는 일반적으로 InternetOpen, InternetConnect, InternetOpenURL, HTTPOpenRequest, HTTPQueryInfo, HTTPSendRequest, InternetReadFile, InternetWriteFile 같은 함수를 사용한다. 이 상위 레벨 API는 일반 브라우징에 사용되는 동일한 API이기 떄문에 악성코드가 좀 더 효율적으로 정상 트래픽에 숨을 수 있게 한다.
네트워크에 사용할 수 있는 다른 상위 레벨 API는 COM(Component Object Model)인터페이스다. URLDownloadToFile 같은 함수를 통해 COM을 간접적으로 사용하는 것은 매우 일반적이지만, COM의 직접 사용은 아직 드물다. COM을 직접적으로 사용하는 악성코드는 일반적으로 CoInitialize, CoCreateInstance, Navigate 같은 함수를 사용한다. 예를 들어 브라우저를 생성하고 사용하기 위한 COM의 직접 사용은 의도한 바와 같이 브라우저가 실제적으로 사용하는 것이기 때문에 악성코드가 정상 트래픽에 숨어들 수 있게 하며, 악성코드의 활동과 네트워크 트래픽 연결이 효율적으로 발견되지 않게 한다.
윈도우 네트워킹 API
WinSock API
WSAStartup
getaddrinfo
socket
connect
send
recv
WSAGetLastError
WinINet API
InternetOpen
InternetConnect
InternetOpenURL
InternetReadFile
InternetWriteFile
HTTPOpenRequest
HTTPQueryInfo
HTTPSendRequest
COM interface
URLDownloadToFile
CoInitialize
CoCreateInstance
Navigate
'Reversing > PMA' 카테고리의 다른 글
| Window Functions used in many malwares (0) | 2015.01.24 |
|---|---|
| Process (0) | 2015.01.17 |
| Networking API (0) | 2015.01.17 |
| DLL (0) | 2015.01.15 |
| Window Registry (0) | 2015.01.15 |
