直接系统调用与间接系统调用技术详解<\/h1>

1. 核心概念与背景<\/h2>
在Windows系统中，用户模式（User Mode）的应用程序通过系统调用（System Call）接口来请求内核模式（Kernel Mode）的服务，例如分配内存、创建线程等。这些调用通常通过`ntdll.dll<\/code>中的函数（如NtAllocateVirtualMemory<\/code>）实现，这些函数内部包含特定的syscall<\/code>指令用于切换到内核。<\/p>`
为了监控和防御恶意行为，终端检测与响应（EDR）等安全产品广泛采用了用户模式API Hook<\/strong>技术，特别是在ntdll.dll<\/code>中。其常见实现方式是内联Hook（Inline Hook）<\/strong>，即在API函数的起始处插入一条jmp<\/code>指令，将执行流重定向到EDR的监控模块（如hooking.dll<\/code>）。EDR在此处对参数等进行审查：若判断为合法，则跳回ntdll<\/code>原函数继续执行syscall<\/code>进入内核；若判断为恶意，则终止进程。<\/p>
`为了绕过这种Hook，攻击者发展出了直接系统调用（Direct Syscall）<\/strong> 和间接系统调用（Indirect Syscall）<\/strong> 技术。<\/p>`

2. 直接系统调用 (Direct Syscall)<\/h2> 2.1 基本原理<\/h3> 直接系统调用的核心思想是：不调用ntdll.dll<\/code>中被Hook的函数<\/strong>，而是由攻击者在自己的程序中重新实现系统调用存根（Syscall Stub），即自己编写包含syscall<\/code>指令的汇编代码。这样，执行syscall<\/code>指令的代码位于程序自身的内存空间，而非ntdll.dll<\/code>的空间，从而避开了EDR的Hook。<\/p> 2.2 关键技术细节<\/h3> 获取系统调用号（SSN, System Call Number）<\/strong>：<\/p> 每个Nt*<\/code>函数在ntdll.dll<\/code>中都有一个对应的系统调用号，存储在EAX寄存器中用于执行syscall<\/code>。<\/li> 虽然函数代码可能被Hook，但其系统调用号通常仍存储在函数体内的特定偏移处（例如，在函数开始后的第4或第5个字节）。<\/li> 通过GetProcAddress<\/code>获取ntdll.dll<\/code>中目标函数的地址，然后从该地址的固定偏移处读取SSN。<\/li> 示例代码： HANDLE hNtdll =<\/span> GetModuleHandleA("ntdll.dll"<\/span>); <\/span><\/span>UINT_PTR pNtAllocateVirtualMemory =<\/span> (UINT_PTR)GetProcAddress(hNtdll, "NtAllocateVirtualMemory"<\/span>); <\/span><\/span>DWORD wNtAllocateVirtualMemory =<\/span> ((unsigned<\/span> char<\/span>*<\/span>)(pNtAllocateVirtualMemory +<\/span> 4<\/span>))[0<\/span>]; \/\/ 从特定偏移读取SSN <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 实现汇编存根（Assembly Stub）<\/strong>：<\/p> 为每个需要使用的Nt*<\/code>函数编写一个汇编过程。<\/li> 存根代码主要完成两件事：将参数从RCX寄存器移动到R10寄存器（因为syscall<\/code>指令使用R10而非RCX）。<\/li> 将之前获取的SSN移动到EAX寄存器。<\/li> 执行syscall<\/code>指令。<\/li> 执行ret<\/code>返回。<\/li> <\/ul> <\/li> 示例汇编代码（MASM语法）： .CODE<\/span> <\/span><\/span>EXTERN<\/span> wNtAllocateVirtualMemory<\/span>:DWORD<\/span> ; 声明外部变量，存储SSN <\/span><\/span><\/span><\/span> <\/span><\/span>NtAllocateVirtualMemory<\/span> PROC<\/span> <\/span><\/span> mov<\/span> r10<\/span>, rcx<\/span> ; 参数从rcx移至r10 <\/span><\/span><\/span><\/span> mov<\/span> eax<\/span>, wNtAllocateVirtualMemory<\/span> ; SSN移至eax <\/span><\/span><\/span><\/span> syscall<\/span> ; 执行系统调用 <\/span><\/span><\/span><\/span> ret<\/span> ; 返回 <\/span><\/span><\/span><\/span>NtAllocateVirtualMemory<\/span> ENDP<\/span> <\/span><\/span>END<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 动态获取SSN的进阶方法<\/strong>：<\/p> 上述简单读取SSN的方式可能不稳定或易被检测。<\/li> 更高级的技术包括： Hell's Gate<\/strong>: 解析ntdll.dll<\/code>的PE结构，从导出表中查找函数并提取SSN，避免使用可能被Hook的GetProcAddress<\/code>。<\/li> Halo's Gate<\/strong>: Hell's Gate的进化版，解决了系统调用号排序可能随机化的问题。<\/li> FreshyCalls \/ Syswhispers2\/3<\/strong>: 类似原理的自动化工具，用于生成直接系统调用的头文件和汇编代码。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 2.3 直接系统调用的局限性（IoC）<\/h3> 虽然绕过了基于Hook的检测，但直接系统调用引入了新的可疑指标（IoC），EDR可以据此进行检测：<\/p> syscall<\/code>指令的来源<\/strong>：syscall<\/code>指令在程序自身的内存空间中执行，而不是在ntdll.dll<\/code>的预期内存区域中。<\/li> 调用栈异常<\/strong>：执行流从程序空间跳转到内核，返回地址也在程序空间，这与正常模式（ntdll.dll<\/code> -> 内核 -> ntdll.dll<\/code>）不同。<\/li> <\/ul> 3. 间接系统调用 (Indirect Syscall)<\/h2> 3.1 基本原理<\/h3> 间接系统调用是直接系统调用的进化，旨在消除上述IoC。其核心思想是：只在自己程序中实现部分存根，而关键的syscall<\/code>指令和ret<\/code>返回指令仍然在ntdll.dll<\/code>的原始内存地址中执行<\/strong>。<\/p> 3.2 关键技术细节<\/h3> 获取SSN和syscall<\/code>指令地址<\/strong>：<\/p> 与直接系统调用相同，需要先从ntdll.dll<\/code>中读取目标函数的SSN。<\/li> 关键新增步骤<\/strong>：定位ntdll.dll<\/code>中目标函数内部的syscall<\/code>指令的确切地址。通常，syscall<\/code>指令在函数体内有一个相对固定的偏移（例如，示例中为+0x12<\/code>）。<\/li> 示例代码： UINT_PTR pNtAllocateVirtualMemory =<\/span> (UINT_PTR)GetProcAddress(hNtdll, "NtAllocateVirtualMemory"<\/span>); <\/span><\/span>DWORD wNtAllocateVirtualMemory =<\/span> ((unsigned<\/span> char<\/span>*<\/span>)(pNtAllocateVirtualMemory +<\/span> 4<\/span>))[0<\/span>]; \/\/ 获取SSN <\/span><\/span><\/span><\/span>UINT_PTR syscallAddrInNtdll =<\/span> pNtAllocateVirtualMemory +<\/span> 0x12<\/span>; \/\/ 计算ntdll中syscall指令的地址 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> <\/li> 修改汇编存根<\/strong>：<\/p> 在自己的汇编存根中，不再使用syscall<\/code>指令<\/strong>，而是使用无条件跳转指令（jmp<\/code>）<\/strong> 跳转到ntdll.dll<\/code>中刚才找到的syscall<\/code>指令地址。<\/li> 这样，syscall<\/code>指令本身是在ntdll.dll<\/code>的合法内存空间中执行的。<\/li> 示例汇编代码修改： .CODE<\/span> <\/span><\/span>EXTERN<\/span> wNtAllocateVirtualMemory<\/span>:DWORD<\/span> <\/span><\/span>EXTERN<\/span> syscallAddrNtAllocateVirtualMemory<\/span>:QWORD<\/span> ; 声明外部变量，存储ntdll中的syscall地址 <\/span><\/span><\/span><\/span> <\/span><\/span>NtAllocateVirtualMemory<\/span> PROC<\/span> <\/span><\/span> mov<\/span> r10<\/span>, rcx<\/span> <\/span><\/span> mov<\/span> eax<\/span>, wNtAllocateVirtualMemory<\/span> <\/span><\/span> jmp<\/span> syscallAddrNtAllocateVirtualMemory<\/span> ; 跳转到ntdll中的syscall指令，而非自己调用 <\/span><\/span><\/span><\/span>NtAllocateVirtualMemory<\/span> ENDP<\/span> <\/span><\/span>END<\/span> <\/span><\/span><\/code><\/pre><\/li> 注意：此存根中没有ret<\/code>指令。执行流程是：jmp<\/code>到ntdll<\/code> -> 执行syscall<\/code>进入内核 -> 内核返回至ntdll<\/code> -> ntdll<\/code>中的ret<\/code>指令将返回地址弹出，返回到最初调用我们自定义NtAllocateVirtualMemory<\/code>函数的程序地址<\/strong>。这使得返回地址也在程序空间，但仍是一个潜在IoC。<\/li> <\/ul> <\/li> <\/ol> 3.3 优势与剩余的IoC<\/h3> 优势<\/strong>：消除了直接系统调用最明显的IoC<\/strong>：syscall<\/code>指令不在ntdll.dll<\/code>中。现在syscall<\/code>指令在ntdll.dll<\/code>的合法内存区域执行，对EDR来说看起来更“正常”。<\/li> ret<\/code>指令也在ntdll.dll<\/code>中执行。<\/li> <\/ul> <\/li> 剩余的\/新的IoC<\/strong>：调用栈\/返回地址异常<\/strong>：虽然syscall<\/code>和ret<\/code>在ntdll<\/code>中，但ntdll<\/code>中的ret<\/code>指令返回到的地址是程序自身的内存空间，而不是类似kernel32.dll<\/code>或user32.dll<\/code>等更高级API的地址。高级的EDR通过分析调用栈（Call Stack）可以发现这种不寻常的返回路径（从ntdll<\/code>直接返回到一个未知的程序内存区域）。<\/li> 跳转行为<\/strong>：从程序空间jmp<\/code>到ntdll.dll<\/code>中间某条指令的行为也可能被视为异常。<\/li> <\/ul> <\/li> <\/ul> 3.4 间接系统调用的局限性与应对<\/h3> ETW（Event Tracing for Windows）<\/strong>：如果EDR启用了ETW等深度监控技术，可以捕获整个调用链的详细信息，包括返回地址。单纯的间接系统调用可能不足以绕过这类检测。<\/li> 调用栈欺骗（Call Stack Spoofing）<\/strong>：为了应对调用栈分析，需要配合调用栈欺骗<\/strong>技术。即在发起系统调用前，手动伪造堆栈上的返回地址，使其指向一个合法的系统模块（如kernelbase.dll<\/code>），让调用栈看起来更像是一次合法的API调用链。<\/li> SSN随机化<\/strong>：系统调用号可能随Windows版本更新而变化，因此需要 robust 的方法（如Halo's Gate）来动态可靠地获取正确的SSN。<\/li> <\/ul> 4. 总结对比<\/h2> 特性<\/th> 标准API调用 (被Hook)<\/th> 直接系统调用 (Direct Syscall)<\/th> 间接系统调用 (Indirect Syscall)<\/th> <\/tr> <\/thead> syscall<\/code>指令位置<\/strong><\/td> ntdll.dll<\/code><\/td> 程序自身内存空间<\/strong><\/td> ntdll.dll<\/code><\/td> <\/tr> ret<\/code>指令位置<\/strong><\/td> ntdll.dll<\/code><\/td> 程序自身内存空间<\/strong><\/td> ntdll.dll<\/code><\/td> <\/tr> 返回地址路径<\/strong><\/td> ntdll<\/code> -> 合法调用者 (e.g., kernel32<\/code>)<\/td> 程序 -> 程序<\/td> ntdll<\/code> -> 程序<\/strong><\/td> <\/tr> 主要绕过目标<\/strong><\/td> -<\/td> 绕过ntdll<\/code>的Hook<\/td> 绕过Hook并隐藏syscall<\/code>来源<\/td> <\/tr> 主要IoC<\/strong><\/td> -<\/td> syscall<\/code>来源、返回路径<\/td> 返回路径（需配合调用栈欺骗）<\/td> <\/tr> 技术复杂度<\/strong><\/td> -<\/td> 中<\/td> 中-高<\/td> <\/tr> <\/tbody> <\/table> 5. 实践建议与思考<\/h2> 动态获取是关键<\/strong>：静态硬编码SSN和syscall<\/code>地址会导致兼容性极差，必须使用动态解析ntdll.dll<\/code>PE结构的方法（Hell's\/Halo's Gate）。<\/li> 组合技术<\/strong>：没有银弹。间接系统调用常需与调用栈欺骗、直接内存操作（避免使用可疑API）、ETW绕过等技术结合使用，才能形成有效的规避链。<\/li> 检测视角<\/strong>：从防御者角度看，监控syscall<\/code>指令的执行上下文（是否在ntdll<\/code>镜像内）和分析调用栈的合理性（从内核返回后是否跳转到了非预期的模块地址）是检测此类规避手法的有效手段。<\/li> 持续演变<\/strong>：这是一个猫鼠游戏。微软和EDR厂商也在不断引入新的缓解机制（如内核模式调用保护），而攻击技术也随之持续进化。<\/li> <\/ol>

特性<\/th>	标准API调用 (被Hook)<\/th>	直接系统调用 (Direct Syscall)<\/th>	间接系统调用 (Indirect Syscall)<\/th> <\/tr> <\/thead>
`syscall<\/code>指令位置<\/strong><\/td>`	`ntdll.dll<\/code><\/td>`	程序自身内存空间<\/strong><\/td>	`ntdll.dll<\/code><\/td> <\/tr>`
`ret<\/code>指令位置<\/strong><\/td>`	`ntdll.dll<\/code><\/td>`	程序自身内存空间<\/strong><\/td>	`ntdll.dll<\/code><\/td> <\/tr>`
返回地址路径<\/strong><\/td>	`ntdll<\/code> -> 合法调用者 (e.g., kernel32<\/code>)<\/td>`	程序 -> 程序<\/td>	`ntdll<\/code> -> 程序<\/strong><\/td> <\/tr>`
主要绕过目标<\/strong><\/td>	-<\/td>	绕过`ntdll<\/code>的Hook<\/td>`	绕过Hook并隐藏`syscall<\/code>来源<\/td> <\/tr>`
主要IoC<\/strong><\/td>	-<\/td>	`syscall<\/code>来源、返回路径<\/td>`	返回路径（需配合调用栈欺骗）<\/td> <\/tr>
技术复杂度<\/strong><\/td>	-<\/td>	中<\/td>	中-高<\/td> <\/tr> <\/tbody> <\/table> 5. 实践建议与思考<\/h2> 动态获取是关键<\/strong>：静态硬编码SSN和`syscall<\/code>地址会导致兼容性极差，必须使用动态解析ntdll.dll<\/code>PE结构的方法（Hell's\/Halo's Gate）。<\/li>` `组合技术<\/strong>：没有银弹。间接系统调用常需与调用栈欺骗、直接内存操作（避免使用可疑API）、ETW绕过等技术结合使用，才能形成有效的规避链。<\/li>` `检测视角<\/strong>：从防御者角度看，监控syscall<\/code>指令的执行上下文（是否在ntdll<\/code>镜像内）和分析调用栈的合理性（从内核返回后是否跳转到了非预期的模块地址）是检测此类规避手法的有效手段。<\/li>` `持续演变<\/strong>：这是一个猫鼠游戏。微软和EDR厂商也在不断引入新的缓解机制（如内核模式调用保护），而攻击技术也随之持续进化。<\/li> <\/ol>`