Hijack Execution Flow
Auf attack.mitre.org ansehen →9 Syscalls implementieren diese Technik
- NtSetInformationVirtualMemory
Wendet eine Informationsklasse auf eine Liste virtueller Speicherbereiche an: Prefetch, Seitenpriorität oder CFG-Opt-in.
- NtCreateEnclave
Allokiert eine neue Enklave (SGX oder VBS/VTL1) im Adressraum eines Zielprozesses.
- NtInitializeEnclave
Schließt eine Enklave nach Image-Load ab — prüft Signaturen und überführt sie in den ausführbaren Zustand.
- NtCallEnclave
Überführt die Ausführung vom VTL0-Host-Code in eine Routine innerhalb einer initialisierten Enklave.
- NtLoadEnclaveData
Kopiert einen seitenaligned Puffer (Code oder Daten) vom VTL0-Host in den VTL1-Bereich einer Enklave vor der Initialisierung.
- NtLoadKeyEx
Moderner Hive-Load-Syscall — Basis für RegLoadKeyW, RegLoadAppKeyW und die AppContainer-Registry-Virtualisierung.
- NtCreateSymbolicLinkObject
Erzeugt einen Object-Manager-Symlink von einem Namen zu einem beliebigen NT-Zielstring.
- NtOpenSymbolicLinkObject
Öffnet einen bestehenden Object-Manager-Symlink über seinen Namen und liefert ein Handle für spätere Abfrage oder Löschung.
- NtSetCachedSigningLevel
Schreibt ein von Code Integrity gecachetes Signaturlevel-Ergebnis in ein NTFS-Extended-Attribute der Zieldatei.