Rootkit
Ver en attack.mitre.org →10 syscalls implementan esta técnica
- NtQuerySystemInformation
Recupera una clase de información a nivel sistema — lista de procesos, tabla de handles del kernel, lista de drivers cargados, estado de integridad de código, y más.
- NtSetSystemInformation
Setter genérico del kernel seleccionado por SYSTEM_INFORMATION_CLASS — puerta a SystemDebugControl, carga de drivers GDI y más.
- NtQueryDirectoryFile
Enumera un directorio a nivel IRP — usado por rootkits para ocultar archivos manipulando la lista devuelta.
- NtDeviceIoControlFile
Envía un IOCTL a un driver del kernel — entrada en modo usuario para todo abuso de primitivas BYOVD.
- NtAddDriverEntry
Registra una nueva EFI_DRIVER_ENTRY en el firmware para que el entorno UEFI cargue un controlador antes del SO.
- NtModifyDriverEntry
Sobrescribe una EFI_DRIVER_ENTRY existente identificada por su ID, reescribiendo la variable NVRAM UEFI Driver#### en su lugar.
- NtDeleteDriverEntry
Elimina una EFI_DRIVER_ENTRY registrada por ID, borrando la variable NVRAM UEFI Driver#### correspondiente.
- NtEnumerateDriverEntries
Devuelve una lista empaquetada de cada EFI_DRIVER_ENTRY registrada — las variables UEFI Driver#### despachadas antes del boot manager.
- NtLoadDriver
Carga un driver en modo kernel desde una entrada de servicio descrita en el registro — entrada BYOVD.
- NtSystemDebugControl
Enruta solicitudes estilo depurador de kernel (R/W de kernel, espacio de control, breakpoints, profiler) seleccionadas por la enum SysDbgCommand.