ntoskrnl.exe
- kernel image, 윈도우NT 커널 공간의 커널과 익스큐티브 계층을 제공한다.
- ntdll.dll이 아니라 bootvid.dll, hal.dll, kdcom.dll에 링크되어 있다.(약 2MB)
- 캐시 매니저, 익스큐티브, 커널, 보안 참조 모니터, 메모리 관리자, 스케쥴러를 포함한다.
- 4개의 커널 이미지 파일들이 존재한다.
ntoskrnl.exe
ntkrnlmp.exe, smp지원
ntkrnlpa.exe, pae지원
ntkrpamp.exe, smp/pae지원
ntoskrnl의 루틴들은 이름에 그들이 정의된 ntosknl의 구성 요소를 가르키는 접두어를 사용한다.
Cc 파일 시스템 캐시
Csr Win32 하위 시스템 프로세스(csrss)와 통신할 때 사용되는 함수들
Dbg 소프트웨어 브레이크포인트 같이 디버깅을 지원하는 함수들
Ex Ntoskrnl.exe의 외부 층인 윈도우 익스큐티브
Exp 전용 윈도우 익스큐티브 : 밖으로 내보내지지 않는 익스큐티브 층 내부의 루틴들 (p = private)
FsRtl 파일 시스템 런타임 라이브러리
Io 입출력 관리자
Ke 핵심 커널 루틴들
Ki 커널 외부에로 내보내어지지 않는 커널 내부의 루틴들 (i = internal)
Ks 커널 스트리밍
Ldr PE 파일 관리를 위한 로더 함수들
Lpc 로컬 프로시저 호출 (내부의 문서화되지 않고 프로세스사이 또는 사용자/커널 메시지 교환 메커니즘에 사용)
Lsa 로컬 보안 인증
Mi 메모리 관리자에 의한 호출을 위해 내보내지지 않은 메모리 관리 함수들
Mm 메모리 관리
Nls 네이티브 언어 지원
Ob 객체 관리자
Pfx 접두어 관리
Po P&P와 전력 관리
Ps 프로세스와 스레드 관리
Rtl 런타임 라이브러리. 이것은 네이티브 응용 프로그램에서 사용될 수 있는 많은 유틸리티 함수들을 포함하지만 직접적으로 커널 지원하지는 않는다.
Se 보안
Vf 드라이버 확인 프로그램
Vi 드라이버 확인 프로그램에 의한 호출을 위해 내보내지지 않는 드라이버 확인 루틴들
Zw Nt 또는 Zw 는 ntdll.dll과 ntoskrnl..exe에서 정의된 시스템 호출이다.
- 사용자 모드의 ntdll.dll에서 호출될 경우, 여기에 속한 함수들은 거의 똑같은 행동을 한다.
- 커널 모드로 들어가 SSDT를 통해 ntoskrnl.exe의 대응되는 함수를 호출한다.
- ntoskrnl.exe에서 직접적으로 호출될 경우(커널 모드에서만 가능), Zw는 커널 모드라는 것을 보장하지만 Nt는 아니다.
'Analysis > API' 카테고리의 다른 글
| GetTickCount를 이용한 안티 디버깅 (0) | 2016.04.15 |
|---|---|
| 안티 디버깅 (0) | 2016.04.11 |
| 악성코드에 자주 사용되는 API 함수 (1) | 2016.04.07 |
| GetEnvironmentVariable - 환경변수 호출 (0) | 2016.04.05 |