Hijack Execution Flow
Voir sur attack.mitre.org →9 syscalls implémentent cette technique
- NtSetInformationVirtualMemory
Applique une classe d'information à une liste de plages mémoire virtuelle : préchargement, priorité de page ou opt-in CFG.
- NtCreateEnclave
Alloue une nouvelle enclave (SGX ou VBS/VTL1) dans l'espace d'adressage d'un processus cible.
- NtInitializeEnclave
Finalise une enclave après chargement d'image — vérifie les signatures et la rend exécutable.
- NtCallEnclave
Transfère l'exécution du code hôte VTL0 vers une routine à l'intérieur d'une enclave initialisée.
- NtLoadEnclaveData
Copie un buffer aligné page (code ou données) depuis la mémoire hôte VTL0 vers la plage VTL1 d'une enclave avant initialisation.
- NtLoadKeyEx
Syscall moderne de chargement de ruche — sous-tend RegLoadKeyW, RegLoadAppKeyW et la virtualisation registre des AppContainers.
- NtCreateSymbolicLinkObject
Crée un lien symbolique d'object manager d'un nom vers une chaîne cible NT arbitraire.
- NtOpenSymbolicLinkObject
Ouvre un lien symbolique de l'object manager existant par son nom, renvoyant un handle pour interrogation ou suppression.
- NtSetCachedSigningLevel
Écrit un résultat de niveau de signature mis en cache par Code Integrity dans un attribut étendu NTFS sur le fichier cible.