← Zurück zum Malware-Index
Academic VBS-enclave shellcode loader (Yuste / Soriano-Salvador, Recon 2023)
Zuordnungen basieren auf öffentlichen Reports. Eine gelistete Familie bedeutet, dass mindestens ein Syscall-Eintrag sie nennt; ihr Fehlen impliziert keine Nicht-Verwendung.
5 Syscalls erwähnt
- NtCreateEnclave
Allokiert eine neue Enklave (SGX oder VBS/VTL1) im Adressraum eines Zielprozesses.
- NtInitializeEnclave
Schließt eine Enklave nach Image-Load ab — prüft Signaturen und überführt sie in den ausführbaren Zustand.
- NtCallEnclave
Überführt die Ausführung vom VTL0-Host-Code in eine Routine innerhalb einer initialisierten Enklave.
- NtTerminateEnclave
Räumt eine Enklave ab, gibt deren VTL1-Speicher frei und signalisiert noch in der Enklave befindliche Threads.
- NtLoadEnclaveData
Kopiert einen seitenaligned Puffer (Code oder Daten) vom VTL0-Host in den VTL1-Bereich einer Enklave vor der Initialisierung.