重写Ring3 API函数实现免杀技术详解<\/h1>

一、系统调用基础概念<\/h2>

1.1 系统调用介绍<\/h3>
系统调用(System Call)是操作系统提供给应用程序与内核交互的核心接口，允许用户程序请求内核执行特权操作，是用户态和内核态之间的桥梁。<\/p>
在Windows系统中：<\/p>
Zw*<\/code>或Nt*<\/code>类型API通过syscall<\/code>指令进入内核态<\/li>
这些API本质上是Ring3级别的，但通过系统调用触发内核特权操作<\/li>
执行流程：用户态API → syscall指令 → 根据SSN(系统调用号)从SSDT查找 → 执行内核态对应函数<\/li>
<\/ul>
1.2 EDR的用户模式钩子机制<\/h3>
现代EDR通过在ntdll.dll中植入钩子来监控API调用：<\/p>

使用jmp<\/code>指令覆盖目标函数(如NtOpenProcess<\/code>)前5字节<\/li>
重定向执行流到EDR自身的DLL进行参数检查<\/li>
执行原始指令后跳回ntdll继续执行<\/li>
<\/ol>
二、直接系统调用技术原理<\/h2>
2.1 技术优势<\/h3>

绕过EDR在ntdll上的用户态钩子<\/li>
直接通过汇编指令实现系统调用，避免被监控<\/li>
<\/ul>
2.2 技术局限性<\/h3>

直接使用syscall可能被高级EDR标记为异常行为<\/li>
函数调用栈异常，容易被检测<\/li>
仅对具备用户态Hook的EDR有效(如BitDefender)<\/li>
<\/ol>
2.3 系统调用流程分析(x64架构)<\/h3>

参数传递<\/strong>：前4个参数通过rcx<\/code>, rdx<\/code>, r8<\/code>, r9<\/code>传递<\/li>
寄存器准备<\/strong>：syscall执行会覆盖rcx<\/code>返回地址，需先保存到r10<\/code><\/li>
系统调用号设置<\/strong>：不同Windows版本需要不同SSN<\/li>
系统调用指令<\/strong>：现代CPU使用syscall<\/code>，旧系统使用int 2Eh<\/code><\/li>
<\/ol>
三、环境配置与实现<\/h2>
3.1 Visual Studio配置<\/h3>

项目属性 → 生成依赖性 → 勾选"masm"<\/li>
添加.asm文件并设置属性：

项类型：自定义生成工具<\/li>
命令行：ml64 \/c %(fileName).asm<\/code><\/li>
输出：%(fileName).obj<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3.2 汇编代码模板<\/h3>
; 示例：ZwAllocateVirtualMemory (SSN: 0x18)
<\/span><\/span><\/span><\/span>_TEXT<\/span> segment<\/span>
<\/span><\/span>
<\/span><\/span>ZwAllocateVirtualMemory<\/span> proc<\/span>
<\/span><\/span>    mov<\/span> r10<\/span>, rcx<\/span>
<\/span><\/span>    mov<\/span> eax<\/span>, 18<\/span>h<\/span>    ; SSN
<\/span><\/span><\/span><\/span>    syscall<\/span>
<\/span><\/span>    ret<\/span>
<\/span><\/span>ZwAllocateVirtualMemory<\/span> endp<\/span>
<\/span><\/span>
<\/span><\/span>end<\/span>
<\/span><\/span><\/code><\/pre>3.3 C++调用示例<\/h3>
\/\/ 函数声明
<\/span><\/span><\/span><\/span>EXTERN_C NTSTATUS ZwAllocateVirtualMemory<\/span>(
<\/span><\/span>    HANDLE ProcessHandle,
<\/span><\/span>    PVOID*<\/span> BaseAddress,
<\/span><\/span>    ULONG_PTR ZeroBits,
<\/span><\/span>    PSIZE_T RegionSize,
<\/span><\/span>    ULONG AllocationType,
<\/span><\/span>    ULONG Protect);
<\/span><\/span>
<\/span><\/span>int<\/span> main<\/span>() {
<\/span><\/span>    PVOID baseAddr =<\/span> nullptr<\/span>;
<\/span><\/span>    SIZE_T size =<\/span> 0x1000<\/span>;
<\/span><\/span>    
<\/span><\/span>    \/\/ 调用重写的API
<\/span><\/span><\/span><\/span>    ZwAllocateVirtualMemory(
<\/span><\/span>        GetCurrentProcess(),
<\/span><\/span>        &<\/span>baseAddr,
<\/span><\/span>        0<\/span>,
<\/span><\/span>        &<\/span>size,
<\/span><\/span>        MEM_COMMIT,
<\/span><\/span>        PAGE_EXECUTE_READWRITE);
<\/span><\/span>    
<\/span><\/span>    return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>四、关键技术与注意事项<\/h2>
4.1 系统调用号(SSN)获取方法<\/h3>

使用调试工具(IDA\/Windbg\/x64dbg)查看ntdll导出函数<\/li>
在"符号"界面找到目标函数对应的汇编代码<\/li>
定位mov eax, SSN<\/code>指令获取调用号<\/li>
<\/ol>
4.2 版本兼容性问题<\/h3>

不同Windows版本SSN可能不同<\/li>
示例代码仅适用于Windows 11，其他系统需调整<\/li>
建议实现动态SSN获取机制<\/li>
<\/ul>
4.3 高级规避技术<\/h3>

间接系统调用<\/strong>：使调用栈看起来更合法<\/li>
动态SSN解析<\/strong>：避免硬编码<\/li>
调用栈混淆<\/strong>：防止ETW分析检测<\/li>
<\/ol>
五、防御与检测<\/h2>
5.1 EDR检测手段<\/h3>

Windows事件跟踪(ETW)分析线程调用栈<\/li>
检测异常的syscall指令使用模式<\/li>
监控非标准系统调用路径<\/li>
<\/ol>
5.2 应对措施<\/h3>

模拟合法程序的调用模式<\/li>
使用间接系统调用技术<\/li>
结合其他混淆技术增强隐蔽性<\/li>
<\/ol>
六、扩展阅读方向<\/h2>

动态解析SSN的实现方法<\/li>
间接系统调用技术细节<\/li>
系统调用与内核PatchGuard的交互<\/li>
ETW监控机制与反制手段<\/li>
<\/ol>
通过重写Ring3 API函数实现直接系统调用，可以有效绕过EDR的用户态钩子，但需要注意调用栈的合法性和SSN的动态获取，才能在实际对抗中发挥更好的效果。<\/p>