Hijack Execution Flow
Ver en attack.mitre.org →9 syscalls implementan esta técnica
- NtSetInformationVirtualMemory
Aplica una clase de información a una lista de rangos de memoria virtual: prefetch, prioridad de página u opt-in CFG.
- NtCreateEnclave
Asigna una nueva enclave (SGX o VBS/VTL1) en el espacio de direcciones de un proceso objetivo.
- NtInitializeEnclave
Finaliza una enclave tras la carga de imagen — verifica firmas y la deja ejecutable.
- NtCallEnclave
Transfiere la ejecución desde el código anfitrión VTL0 a una rutina dentro de una enclave inicializada.
- NtLoadEnclaveData
Copia un buffer alineado a página (código o datos) desde la memoria anfitrión VTL0 al rango VTL1 de la enclave antes de la inicialización.
- NtLoadKeyEx
Syscall moderno de carga de colmena — respalda RegLoadKeyW, RegLoadAppKeyW y la virtualización de registro de AppContainer.
- NtCreateSymbolicLinkObject
Crea un enlace simbólico del object manager desde un nombre hacia una cadena destino NT arbitraria.
- NtOpenSymbolicLinkObject
Abre un enlace simbólico existente del object manager por nombre, devolviendo un handle para consulta o eliminación posterior.
- NtSetCachedSigningLevel
Escribe un resultado de nivel de firma cacheado por Code Integrity en un atributo extendido NTFS del archivo objetivo.