恶意软件攻击技术大揭秘——直接系统调用

近年来，我们发现恶意使用直接系统调用来逃避安全产品挂钩的情况有所增加。这些挂钩用于监视可能存在恶意活动的 API 调用。什么是API hookAPI 挂钩是防病毒和 EDR 解决方案使用的一种技术，旨在实时监控进程和代码行为。无论何时产生一个新进程，EDR 负责将自己注入进程的内存，加载挂钩 DLL，以确定活动是否是恶意的。通常，EDR 解决方案将挂钩 NTDLL.dll 中的 Windows API，因为 NTDLL.dll 库中的 API 是进行系统调用之前调用的最后一个 API，系统调用会将执行上下文切换到内核。EDR 解决方案通常会针对已知恶意软件开发人员使用的 API，比如NtMapViewOfSection。下图展示一个没有挂钩的 API 的示例：将一个值从 rcx 移动到 r10寄存器中，然后将28(syscall 编号)移动到 eax 中，然后执行 syscall 命令。被挂钩的API示例：在这个被钩住的 API 中，指令被 jmp 指令覆盖。如 ………………………………