syscall调用原理
一、从异常目录中读取函数调用地址(只适用于x64)#
将NTDLL.dll映射到只读内存中,在调用之前将函数调用地址复制到可执行缓冲区,并执行。
参考文章和代码:
https://modexp.wordpress.com/2020/06/01/syscalls-disassembler/
https://github.com/odzhan/injection/tree/master/syscalls
二、使用反汇编程序来执行内核函数(x64)#
对于其原理和步骤参考文章如下:
https://outflank.nl/blog/2019/06/19/red-team-tactics-combining-direct-system-calls-and-srdi-to-bypass-av-edr/
https://github.com/outflanknl/Dumpert
说明:其中unhookapi也是一种绕过杀软方式,通过修改杀软检测api的jmp代码,让其api脱钩
三、基于hash从PEB获取API地址(x86和x64均可)#
参考工具如下(getapi):
https://github.com/odzhan/shellcode/tree/master/os/win/getapi/dynamic
说明:代码需要重构,此版本有直接编译有问题
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· 周边上新:园子的第一款马克杯温暖上架
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试?测试工程师会被淘汰吗?
· 使用C#创建一个MCP客户端