← Retour à l'index malware
Academic VBS-enclave shellcode loader (Yuste / Soriano-Salvador, Recon 2023)
Les attributions s'appuient sur des rapports publics. Une famille listée signifie qu'au moins une fiche syscall la cite ; son absence n'implique pas un non-usage.
5 syscalls cités
- NtCreateEnclave
Alloue une nouvelle enclave (SGX ou VBS/VTL1) dans l'espace d'adressage d'un processus cible.
- NtInitializeEnclave
Finalise une enclave après chargement d'image — vérifie les signatures et la rend exécutable.
- NtCallEnclave
Transfère l'exécution du code hôte VTL0 vers une routine à l'intérieur d'une enclave initialisée.
- NtTerminateEnclave
Démantèle une enclave, libère sa mémoire VTL1 et signale les threads encore à l'intérieur.
- NtLoadEnclaveData
Copie un buffer aligné page (code ou données) depuis la mémoire hôte VTL0 vers la plage VTL1 d'une enclave avant initialisation.