Target API 확인 - Process Monitor로 Notepad.exe에서 파일을 저장하는 순간을 확인해보자 - 열려있는 notepad.exe의 PID, 저장할 파일의 이름을 필터에 세팅 후 저장 진행해보면 - 어떤 API들의 호출이 발생했는지 확인 가능 => kernel32.dll!WriteFile() API 의심 가능! BOOL WriteFile( [in] HANDLE hFile, [in] LPCVOID lpBuffer, // 파일에 쓸 데이터를 포함하는 버퍼 포인터 [in] DWORD nNumberOfBytesToWrite, // 파일에 쓸 바이트 수 [out, optional] LPDWORD lpNumberOfBytesWritten, [in, out, optional] LPOVERLAPP..