Windows系统调用(SysCall)免杀技术详解<\/h1>

1. 系统调用基础概念<\/h2>

1.1 什么是系统调用<\/h3>
系统调用(SysCall)是Windows提供的从用户模式(3环)进入内核模式(0环)进行特权操作的方法。通过`sysenter<\/code>或syscall<\/code>指令进入内核模式，将执行流程交给内核。<\/p>`

1.2 系统调用流程<\/h3>

用户模式API(如VirtualAlloc<\/code>)最终调用NTDLL中的对应函数(如ntdll!NtAllocateVirtualMemory<\/code>)<\/li>
NTDLL中的函数准备参数并设置系统调用号(SSN)<\/li>
通过syscall<\/code>或int 2e<\/code>指令进入内核模式<\/li>
内核根据SSN查找系统服务描述符表(SSDT)并执行对应内核函数<\/li>
<\/ol>
1.3 关键数据结构<\/h3>

_KUSER_SHARED_DATA<\/code>结构：

内核地址：0xffdf0000<\/code><\/li>
用户地址：0x7ffe0000<\/code><\/li>
偏移0x308<\/code>处的SystemCall<\/code>成员决定使用int 2e<\/code>还是syscall<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
2. 直接与间接系统调用<\/h2>
2.1 直接系统调用<\/h3>
在当前模块中使用syscall<\/code>指令，示例：<\/p>
mov<\/span> r10<\/span>, rcx<\/span>
<\/span><\/span>mov<\/span> eax<\/span>, SSN<\/span> ; 系统调用号
<\/span><\/span><\/span><\/span>syscall<\/span>
<\/span><\/span>ret<\/span>
<\/span><\/span><\/code><\/pre>特点：<\/p>

直接在代码中使用syscall<\/code>指令<\/li>
需要硬编码或动态获取SSN<\/li>
容易被检测<\/li>
<\/ul>
2.2 间接系统调用<\/h3>
通过跳转指令(如jmp<\/code>)跳转到NTDLL中的syscall<\/code>指令位置：<\/p>
jmp<\/span> [ntdll_syscall_addr<\/span>]
<\/span><\/span><\/code><\/pre>特点：<\/p>

从NTDLL发起系统调用，行为更"合法"<\/li>
需要动态获取NTDLL中的syscall<\/code>指令地址<\/li>
更难被检测<\/li>
<\/ul>
3. 系统调用免杀技术实现<\/h2>
3.1 SysWhispers系列<\/h3>
3.1.1 SysWhispers1<\/h4>

硬编码系统调用号<\/li>
根据Windows版本选择正确的SSN<\/li>
直接系统调用<\/li>
<\/ul>
3.1.2 SysWhispers2<\/h4>

使用哈希查找系统调用号<\/li>
解析NTDLL导出表，按地址排序系统调用<\/li>
随机选择NTDLL中的syscall<\/code>指令地址(间接调用)<\/li>
<\/ul>
3.1.3 SysWhispers3<\/h4>
提供四种技术：<\/p>

Embedded<\/strong>: 基于哈希的直接系统调用<\/li>
Egg Hunter<\/strong>: 动态替换shellcode中的"egg"部分<\/li>
Jumper<\/strong>: 通过哈希获取调用号和地址后跳转到NTDLL<\/li>
Jumper Randomized<\/strong>: 随机选择NTDLL中的函数执行系统调用<\/li>
<\/ol>
3.2 Hell's Gate技术<\/h3>

手动解析NTDLL导出表<\/li>
获取关键Windows API<\/li>
分配RW内存写入shellcode后改为RX执行<\/li>
直接系统调用<\/li>
<\/ol>
关键函数：<\/p>

HellsGate<\/code>: 获取并保存SSN<\/li>
HellDescent<\/code>: 触发系统调用<\/li>
<\/ul>
3.3 Tartarus' Gate (Halo's Gate改进)<\/h3>

Hell's Gate的升级版<\/li>
处理被hook的情况：

如果第一条指令是jmp(0xe9)<\/code>，表示被hook<\/li>
向上或向下查找未被hook的函数<\/li>
<\/ul>
<\/li>
仍然是直接系统调用<\/li>
<\/ul>
3.4 RecycledGate<\/h3>

Tartarus' Gate的升级<\/li>
改为间接系统调用<\/li>
搜索syscall;ret<\/code>特征码确保通过NTDLL发起调用<\/li>
<\/ul>
3.5 ParallelSyscalls<\/h3>
利用Windows 10并行DLL加载机制：<\/p>

检查关键函数(NtOpenFile<\/code>等)是否被hook<\/li>
与LdrpThunkSignature<\/code>比较前16字节检测hook<\/li>
使用NtMapViewOfSection<\/code>映射干净的NTDLL<\/li>
从干净的NTDLL提取SSN和地址<\/li>
<\/ol>
3.6 HWSyscalls<\/h3>
使用硬件断点和VEH(向量化异常处理)：<\/p>

在Kernel32\/KernelBase中搜索返回指令特征码<\/li>
注册VEH异常处理程序<\/li>
在目标函数地址设置硬件断点<\/li>
触发断点后检查hook情况<\/li>
如果被hook，查找干净函数获取SSN<\/li>
<\/ol>
3.7 FreshyCalls<\/h3>

定义Syscall<\/code>类提供调用接口<\/li>
解析NTDLL导出表构建stub_map<\/code>和syscall_map<\/code><\/li>
查找syscall<\/code>或sysenter<\/code>指令地址<\/li>
根据情况选择直接或间接系统调用<\/li>
<\/ol>
3.8 PigSyscall<\/h3>
类似FreshyCalls但改进：<\/p>

使用哈希而非函数名查找<\/li>
调用时使用加密的masked_syscall_stub<\/li>
调用CryptPermute<\/code>进行解密<\/li>
<\/ul>
4. 关键技术与技巧<\/h2>
4.1 SSN获取方法<\/h3>

硬编码(不推荐，不同Windows版本不同)<\/li>
从NTDLL导出表解析<\/li>
从LdrpThunkSignature<\/code>获取<\/li>
特征码匹配(如b8d18b4c<\/code>)<\/li>
<\/ol>
4.2 反Hook技术<\/h3>

检查前几条指令是否为jmp<\/code><\/li>
查找邻近的干净函数<\/li>
映射干净的NTDLL副本<\/li>
使用硬件断点检测hook<\/li>
<\/ol>
4.3 隐蔽调用技术<\/h3>

间接系统调用(跳转到NTDLL)<\/li>
随机选择NTDLL中的syscall<\/code>位置<\/li>
使用异常处理机制<\/li>
加密系统调用stub<\/li>
<\/ol>
5. 参考资源<\/h2>

系统调用号查询: https:\/\/j00ru.vexillium.org\/syscalls\/nt\/64\/<\/a><\/li>
关键数据结构: _KUSER_SHARED_DATA<\/code>, PEB<\/code>, TEB<\/code><\/li>
相关项目: SysWhispers, Hell's Gate, HWSyscalls等<\/li>
<\/ul>
6. 总结<\/h2>
系统调用免杀技术核心在于：<\/p>

正确获取系统调用号<\/li>
绕过或检测用户模式hook<\/li>
选择隐蔽的系统调用方式(直接\/间接)<\/li>
保持与合法程序相似的行为特征<\/li>
<\/ol>
随着防御技术发展，更先进的方案如硬件断点、异常处理、内存映射等被引入，使得检测和防御更加困难。理解这些技术的原理和实现对于攻防双方都至关重要。<\/p>

Windows系统调用(SysCall)免杀技术详解<\/h1>

1. 系统调用基础概念<\/h2>

1.1 什么是系统调用<\/h3> 系统调用(SysCall)是Windows提供的从用户模式(3环)进入内核模式(0环)进行特权操作的方法。通过sysenter<\/code>或syscall<\/code>指令进入内核模式，将执行流程交给内核。<\/p>

2. 直接与间接系统调用<\/h2>

3. 系统调用免杀技术实现<\/h2>

3.1 SysWhispers系列<\/h3>

4. 关键技术与技巧<\/h2>

1.1 什么是系统调用<\/h3>
系统调用(SysCall)是Windows提供的从用户模式(3环)进入内核模式(0环)进行特权操作的方法。通过`sysenter<\/code>或syscall<\/code>指令进入内核模式，将执行流程交给内核。<\/p>`