User-API → NTDLL → Syscall → Kernel-Routine
Visuelle Referenz, wie ein Win32-Aufruf zu einer Syscall-Instruktion wird und welche Kernel-Routine ihn behandelt. Rote Marker zeigen, wo EDRs hooken und wo Kernel-Telemetrie ausgelöst wird.
Normaler Pfad
Anwendung → kernel32 → ntdll → Syscall-Instruktion → KiSystemCall64 → Routine. EDRs greifen in ntdll ein.
Direkter Syscall-Pfad
Die Anwendung kopiert einen Stub in RWX-Speicher und führt den Syscall direkt aus. Umgeht den ntdll-Hook — Kernel-Callbacks und ETW Threat Intelligence beobachten den Aufruf trotzdem.
SVG · einbettbar · direkt zu /graph verlinken