Rootkit
Auf attack.mitre.org ansehen →10 Syscalls implementieren diese Technik
- NtQuerySystemInformation
Liest eine systemweite Informationsklasse aus — Prozessliste, Kernel-Handle-Tabelle, geladene Treiberliste, Code-Integritäts-Status und mehr.
- NtSetSystemInformation
Generischer Kernel-Setter, ausgewählt über SYSTEM_INFORMATION_CLASS — Zugang zu SystemDebugControl, GDI-Treiberladen und mehr.
- NtQueryDirectoryFile
Enumeriert ein Verzeichnis auf IRP-Ebene — von Rootkits genutzt, um Dateien durch Manipulation der Rückgabeliste zu verbergen.
- NtDeviceIoControlFile
Sendet ein IOCTL an einen Kernel-Treiber — User-Mode-Einstieg für jeden BYOVD-Primitive-Missbrauch.
- NtAddDriverEntry
Registriert einen neuen EFI_DRIVER_ENTRY in der Firmware, damit die UEFI-Umgebung einen Treiber vor dem Betriebssystem lädt.
- NtModifyDriverEntry
Überschreibt einen vorhandenen EFI_DRIVER_ENTRY anhand seiner ID und schreibt die UEFI-Driver####-NVRAM-Variable an Ort und Stelle neu.
- NtDeleteDriverEntry
Entfernt einen registrierten EFI_DRIVER_ENTRY anhand der ID und löscht die zugehörige UEFI-Driver####-NVRAM-Variable.
- NtEnumerateDriverEntries
Liefert eine gepackte Liste aller registrierten EFI_DRIVER_ENTRYs — die UEFI-Driver####-Variablen, die vor dem Boot-Manager dispatcht werden.
- NtLoadDriver
Lädt einen Kernel-Mode-Treiber aus einem registry-beschriebenen Service-Eintrag — der BYOVD-Einstieg.
- NtSystemDebugControl
Leitet Kerneldebugger-artige Anfragen weiter (Kernel-R/W, Control Space, Breakpoints, Profiler), ausgewählt über die SysDbgCommand-Enum.