0
실행 추적을 기반으로 실행 파일을 분석하고 있습니다. 도구 NtTrace을 사용하여 실행 추적을 얻었습니다. 출력은 인수가있는 원시 api 호출 시퀀스입니다. 나는 다음을 제외한 API 호출의 대부분을 해석하는 데 성공했다 :Windows 기본 API 호출 인수를 해석하십시오.
NtQueryKey에서
NtQueryKey(KeyHandle=0x46a, KeyInformationClass=7 [KeyHandleTagsInformation], KeyInformation=0x312c4e0, Length=4, ResultLength=0x312c4dc [4]) => 0
NtDeviceIoControlFile(FileHandle=0xbe4, Event=0xce8, ApcRoutine=null, ApcContext=null, IoStatusBlock=0x124cf2b0 [0/0xffc], IoControlCode=0x00012017, InputBuffer=0x124cf298, InputBufferLength=0x10, OutputBuffer=null, OutputBufferLength=0) => 0
이 어떻게 실제 레지스트리 키에 KeyHandle=0x46a를 매핑 할 수 있습니다. 또한 NtDeviceIoControlFile은 IoControlCode=0x00012017을 기준으로 TCP_RECV, TCP_SEND 등이 있는지 확인할 수 있습니다.
고맙습니다.