> Windows Syscalls

User-API → NTDLL → Syscall → Kernel-Routine

Visuelle Referenz, wie ein Win32-Aufruf zu einer Syscall-Instruktion wird und welche Kernel-Routine ihn behandelt. Rote Marker zeigen, wo EDRs hooken und wo Kernel-Telemetrie ausgelöst wird.

USER-MODEKERNELAnwendungVirtualAllocEx(...)kernel32.dllNtAllocateVirtualMemory(...)ntdll.dllmov r10, rcxmov eax, <SSN>syscallEigener Syscall-Stubmov eax, <SSN>syscalldirekter Syscall (umgeht ntdll)EDR-Hook-PunktInline-/IAT-Hooks auf Nt*-Exportenuser → kernel transitionKiSystemCall64KiServiceTable[SSN]NtAllocateVirtualMemory(ntoskrnl.exe)MmAllocateVirtualMemory(Mm subsystem)ETW Threat IntelligenceAllocationVm-, ProtectVm-, MapView-EventsKernel-CallbacksPsSetCreate*NotifyRoutineEx, ObRegisterCallbacksDirekte Stubs umgehen den User-Mode-Hook — Kernel-Telemetrie bleibt aber aktiv.

Normaler Pfad

Anwendung → kernel32 → ntdll → Syscall-Instruktion → KiSystemCall64 → Routine. EDRs greifen in ntdll ein.

Direkter Syscall-Pfad

Die Anwendung kopiert einen Stub in RWX-Speicher und führt den Syscall direkt aus. Umgeht den ntdll-Hook — Kernel-Callbacks und ETW Threat Intelligence beobachten den Aufruf trotzdem.

SVG · einbettbar · direkt zu /graph verlinken