直接系统调用技术详解与实现<\/h1>

1. 直接系统调用概述<\/h2>
直接系统调用(Direct System Call)是Windows系统上的一种技术，允许用户模式程序直接进入内核模式执行特权操作，而无需通过常规的API调用链(kernel32.dll → ntdll.dll → 系统调用)。<\/p>

核心优势：<\/h3>

绕过EDR(终端检测与响应)在用户层的钩子(Hook)<\/li>
减少API调用痕迹，提高隐蔽性<\/li>

直接与内核交互，执行效率更高<\/li> <\/ul>

2. EDR检测机制分析<\/h2>

现代EDR解决方案通常在Ring 3层(用户模式)实现钩子技术：<\/p>

通过修改API函数的前几个字节(操作码和操作数)<\/li>
将执行流重定向到EDR的hook.dll<\/li>

在hook.dll中分析API调用行为是否恶意<\/li> <\/ol>

常规调用流程(被EDR监控)：<\/h3>

应用程序 → kernel32.dll → ntdll.dll → EDR钩子 → 系统调用
<\/code><\/pre>
直接系统调用流程(绕过EDR)：<\/h3>
应用程序 → 直接系统调用指令 → 内核模式
<\/code><\/pre>
3. 技术实现原理<\/h2>
系统调用号获取<\/h3>
每个Windows系统函数都有一个唯一的系统调用号(SSN, System Service Number)，存储在ntdll.dll中对应函数的第4个字节。<\/p>
汇编核心代码<\/h3>
mov<\/span> r10<\/span>, rcx<\/span>      ; 将第一个参数保存到r10寄存器
<\/span><\/span><\/span><\/span>mov<\/span> eax<\/span>, SSN<\/span>      ; 将系统调用号存入eax
<\/span><\/span><\/span><\/span>syscall<\/span>           ; 执行系统调用指令
<\/span><\/span><\/span><\/span>ret<\/span>               ; 返回
<\/span><\/span><\/span><\/code><\/pre>4. 实现步骤详解<\/h2>
准备工作<\/h3>

获取SysWhispers2项目(https:\/\/github.com\/jthuraisamy\/SysWhispers2)<\/li>
主要使用其中的syscalls.h和汇编文件<\/li>
<\/ol>
C++实现流程<\/h3>

获取ntdll.dll的模块句柄<\/li>
<\/ol>
HMODULE hNtdll =<\/span> GetModuleHandleA("ntdll.dll"<\/span>);
<\/span><\/span><\/code><\/pre>
获取目标函数地址并读取系统调用号<\/li>
<\/ol>
FARPROC pFunc =<\/span> GetProcAddress(hNtdll, "NtAllocateVirtualMemory"<\/span>);
<\/span><\/span>DWORD ssn =<\/span> *<\/span>((PDWORD)((PBYTE)pFunc +<\/span> 4<\/span>));  \/\/ 第4字节为SSN
<\/span><\/span><\/span><\/code><\/pre>

为所有需要的函数重复上述操作<\/p>
<\/li>

使用汇编代码执行直接系统调用<\/p>
<\/li>
<\/ol>
MASM汇编实现<\/h3>
EXTERN<\/span>用于全局访问变量<\/span> 包含了对应的<\/span>SSN<\/span>
<\/span><\/span><\/code><\/pre>5. 关键注意事项<\/h2>

系统兼容性<\/strong>：不同Windows版本的系统调用号可能不同<\/li>
参数传递<\/strong>：必须严格按照x64调用约定准备参数<\/li>
错误处理<\/strong>：直接系统调用不会设置LastError，需要自行处理<\/li>
检测规避<\/strong>：现代EDR可能监控syscall指令的使用，需要进一步混淆<\/li>
<\/ol>
6. 防御对抗演进<\/h2>
随着直接系统调用技术的普及，EDR厂商已发展出新的检测手段：<\/p>

监控异常的系统调用来源(非ntdll.dll发起的syscall)<\/li>
分析调用栈的完整性<\/li>
检测syscall指令的上下文<\/li>
<\/ul>
应对方法包括：<\/p>

动态生成syscall存根<\/li>
混合使用直接和间接调用<\/li>
调用栈混淆<\/li>
<\/ul>
7. 实际应用示例<\/h2>
以下是一个简化的直接系统调用实现框架：<\/p>
#include<\/span> <windows.h><\/span>
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ 定义函数类型
<\/span><\/span><\/span><\/span>typedef<\/span> NTSTATUS<\/span>(NTAPI*<\/span> pNtAllocateVirtualMemory)(
<\/span><\/span>    HANDLE ProcessHandle,
<\/span><\/span>    PVOID*<\/span> BaseAddress,
<\/span><\/span>    ULONG_PTR ZeroBits,
<\/span><\/span>    PSIZE_T RegionSize,
<\/span><\/span>    ULONG AllocationType,
<\/span><\/span>    ULONG Protect);
<\/span><\/span>
<\/span><\/span>\/\/ 获取SSN的函数
<\/span><\/span><\/span><\/span>DWORD GetSSN<\/span>(LPCSTR funcName) {
<\/span><\/span>    HMODULE hNtdll =<\/span> GetModuleHandleA("ntdll.dll"<\/span>);
<\/span><\/span>    FARPROC pFunc =<\/span> GetProcAddress(hNtdll, funcName);
<\/span><\/span>    return<\/span> *<\/span>((PDWORD)((PBYTE)pFunc +<\/span> 4<\/span>));
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ 直接系统调用执行函数
<\/span><\/span><\/span><\/span>extern<\/span> "C"<\/span> NTSTATUS DirectNtAllocateVirtualMemory(
<\/span><\/span>    HANDLE ProcessHandle,
<\/span><\/span>    PVOID*<\/span> BaseAddress,
<\/span><\/span>    ULONG_PTR ZeroBits,
<\/span><\/span>    PSIZE_T RegionSize,
<\/span><\/span>    ULONG AllocationType,
<\/span><\/span>    ULONG Protect) {
<\/span><\/span>    
<\/span><\/span>    DWORD ssn =<\/span> GetSSN("NtAllocateVirtualMemory"<\/span>);
<\/span><\/span>    
<\/span><\/span>    __asm<\/span> {
<\/span><\/span>        mov r10, rcx
<\/span><\/span>        mov eax, ssn
<\/span><\/span>        syscall
<\/span><\/span>        ret
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>int<\/span> main<\/span>() {
<\/span><\/span>    \/\/ 使用直接系统调用分配内存
<\/span><\/span><\/span><\/span>    PVOID baseAddr =<\/span> nullptr<\/span>;
<\/span><\/span>    SIZE_T size =<\/span> 0x1000<\/span>;
<\/span><\/span>    DirectNtAllocateVirtualMemory(
<\/span><\/span>        GetCurrentProcess(),
<\/span><\/span>        &<\/span>baseAddr,
<\/span><\/span>        0<\/span>,
<\/span><\/span>        &<\/span>size,
<\/span><\/span>        MEM_COMMIT |<\/span> MEM_RESERVE,
<\/span><\/span>        PAGE_EXECUTE_READWRITE);
<\/span><\/span>    
<\/span><\/span>    \/\/ 使用分配的内存...
<\/span><\/span><\/span><\/span>    
<\/span><\/span>    return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>8. 进阶技术方向<\/h2>

动态SSN解析<\/strong>：运行时解析ntdll.dll获取最新SSN，提高兼容性<\/li>
间接系统调用<\/strong>：通过合法模块中的syscall指令间接执行<\/li>
硬件断点绕过<\/strong>：使用硬件断点检测EDR的监控并规避<\/li>
VDSO调用<\/strong>：利用Linux风格的vDSO机制进行系统调用<\/li>
<\/ol>
9. 资源推荐<\/h2>

SysWhispers2<\/strong>：https:\/\/github.com\/jthuraisamy\/SysWhispers2<\/li>
HellsGate<\/strong>：动态SSN解析技术<\/li>
HalosGate<\/strong>：针对HellsGate的改进版<\/li>
FreshyCalls<\/strong>：另一种直接系统调用实现方式<\/li>
<\/ol>
10. 法律与道德声明<\/h2>
直接系统调用技术本身是中性的，但可能被用于恶意目的。本技术文档仅用于安全研究和防御技术研究，任何使用此技术进行的未经授权系统访问均属违法。安全研究人员应在合法授权范围内进行相关测试和研究。<\/p>

直接系统调用技术详解与实现<\/h1>

1. 直接系统调用概述<\/h2> 直接系统调用(Direct System Call)是Windows系统上的一种技术，允许用户模式程序直接进入内核模式执行特权操作，而无需通过常规的API调用链(kernel32.dll → ntdll.dll → 系统调用)。<\/p>

3. 技术实现原理<\/h2>

系统调用号获取<\/h3> 每个Windows系统函数都有一个唯一的系统调用号(SSN, System Service Number)，存储在ntdll.dll中对应函数的第4个字节。<\/p>

4. 实现步骤详解<\/h2>

1. 直接系统调用概述<\/h2>
直接系统调用(Direct System Call)是Windows系统上的一种技术，允许用户模式程序直接进入内核模式执行特权操作，而无需通过常规的API调用链(kernel32.dll → ntdll.dll → 系统调用)。<\/p>

系统调用号获取<\/h3>
每个Windows系统函数都有一个唯一的系统调用号(SSN, System Service Number)，存储在ntdll.dll中对应函数的第4个字节。<\/p>