Rootkit
Voir sur attack.mitre.org →10 syscalls implémentent cette technique
- NtQuerySystemInformation
Récupère une classe d'informations à l'échelle du système — liste des processus, table des handles noyau, liste des pilotes chargés, état d'intégrité du code, et plus.
- NtSetSystemInformation
Setter noyau générique sélectionné par SYSTEM_INFORMATION_CLASS — porte d'entrée pour SystemDebugControl, chargement de pilotes GDI, etc.
- NtQueryDirectoryFile
Énumère un répertoire au niveau IRP — utilisé par les rootkits pour cacher des fichiers en altérant la liste retournée.
- NtDeviceIoControlFile
Envoie un IOCTL à un driver noyau — porte d'entrée user-mode de tout abus de primitive BYOVD.
- NtAddDriverEntry
Enregistre une nouvelle EFI_DRIVER_ENTRY dans le firmware pour que l'environnement UEFI charge un pilote avant l'OS.
- NtModifyDriverEntry
Écrase une EFI_DRIVER_ENTRY existante identifiée par son ID, en réécrivant la variable NVRAM UEFI Driver#### sur place.
- NtDeleteDriverEntry
Supprime une EFI_DRIVER_ENTRY enregistrée par ID, en effaçant la variable NVRAM UEFI Driver#### correspondante.
- NtEnumerateDriverEntries
Retourne une liste compactée de chaque EFI_DRIVER_ENTRY enregistrée — les variables UEFI Driver#### dispatchées avant le boot manager.
- NtLoadDriver
Charge un driver mode noyau depuis une entrée de service décrite dans le registre — porte d'entrée BYOVD.
- NtSystemDebugControl
Achemine des requêtes de type débogueur noyau (R/W noyau, espace de contrôle, points d'arrêt, profileur) sélectionnées par l'enum SysDbgCommand.