1606,

1/81

havu

http://havu.tistory.com

[자작]프로세스모니터Operation필터

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1919 [복사]

- Process and Thread Activity 내용 분석
   ? Process and Thread Activity의 Operation
      → Process/Thread Create : 프로세스/쓰레드 생성
      → Process/Thread Start : 프로세스/쓰레드 시작
      → Load Image : 이미지를 읽음

- File System Activity 내용 분석
   ? Operation
      → CreateFile : 파일을 만들거나 이미 만들어져 있는 파일을 염, 파일 뿐만 아니라
                               파이프, 메일 슬롯, 콘솔 등의 오브젝트를 만들거나 열기도 함
      → WriteFile : 파일에 데이터를 씀
      → ReadFile : 파일에서 데이터를 읽음
      → CopyFile : 파일을 복사
      → MoveFile : 파일을 이동
      → DeleteFile : 파일을 삭제
      → CloseFile : 파일을 닫음
      → CreateFileMapping : MMF(Memory Mapped File) 생성, 일반적으로 실행
          파일(EXE, DLL)들이 실행되면 MMF가 됨
      → LockFile : 바이트 범위로 지정된 파일 잠금
      → UnlockFileSingle : 바이트 범위로 잠금된 파일을 해제(unlock)
      → FileSystemControl : 지정된 파일 시스템이나 파일 시스템 필터 드라이버에 직접
          제어 코드를 보내어, 해당 드라이버가 지정된 작업을 수행하게 함
      → QueryNameInformationFile : 파일 객체에 대한 정보를 반환. 이름의 형식에 대한
          자세한 정보를 반환
      → QueryStandardInformationFile : 파일 객체에 대한 정보를 반환. 바이트 단위 파일
          할당 크기, 바이트 오프셋의 파일 위치의 끝, 파일에 대한 하드링크수, 파일 객체가 디렉토리인지의 정보
      → QueryInformationVolume : 특정 파일, 디렉토리, 저장장치 또는 볼륨과 연결된
          볼륨에 대한 정보를 검색
      → QueryDirectory : 기존 디렉토리를 염. 디렉토리 개체에 쿼리 액세스

Hit : 13279 Date : 2012/01/10 02:34