这一节对应 04.5 - 05.1。主题从“用户态 API 怎么被调用”延伸到“权限、会话、令牌和系统调用边界”。这部分适合从防护视角理解 API、ntdll、内核接口和访问控制之间的关系。
1、内容范围
| 小节 |
主题 |
| 04.5 |
API 执行调用路线及高级调用 |
| 04.6 |
过滤系统调用通用思路 |
| 04.7 |
ntdll 跳板过滤与应用层调用链 |
| 04.8 |
用户 APC 强制唤醒触发调度思路 |
| 04.9 |
Session 会话隔离 |
| 05.0 |
进程访问令牌与权限提升 |
| 05.1 |
高级远程线程注入 |
1.1、逐节复盘
| 小节 |
主要内容 |
复盘点 |
| 04.5 |
梳理应用层 API、ntdll、系统调用和内核处理的调用路线 |
建立调用链概念,方便之后看 Hook 和检测绕行痕迹 |
| 04.6 |
理解过滤系统调用的常见观察位置 |
关注用户态 API、ntdll 入口、调用栈和返回值差异 |
| 04.7 |
认识 ntdll 跳板与系统调用入口的关系 |
防护侧重点是异常调用路径、模块完整性和内存页属性 |
| 04.8 |
理解用户 APC 强制唤醒与线程调度关系 |
观察线程状态、APC 触发时机和异常事件 |
| 04.9 |
了解 Session 隔离对跨会话行为的限制 |
记录用户、会话 ID、桌面对象和权限边界 |
| 05.0 |
从访问令牌理解进程权限、完整性级别和特权 |
复盘令牌信息、权限变更和失败错误码 |
| 05.1 |
汇总更复杂远程线程类行为的检测点 |
重点仍是句柄、内存、线程入口、模块和时间线 |
2、机制关系
| 层次 |
复盘重点 |
| Win32 API |
高层接口,便于开发,也便于 Hook 和日志观察 |
| ntdll |
用户态到内核态的重要过渡层,常用于调用链分析 |
| 系统调用 |
进入内核服务,权限和参数校验不可忽略 |
| 访问令牌 |
决定进程/线程拥有哪些权限和身份 |
| 会话隔离 |
不同 Session 的交互限制影响跨进程操作 |
3、防护观察
| 观察点 |
说明 |
| 调用链 |
是否绕过常见高层 API,直接走更底层接口 |
| 权限变化 |
令牌权限是否被调整,是否出现异常特权启用 |
| 会话边界 |
是否存在跨会话操作尝试或失败日志 |
| ntdll 完整性 |
关注用户态入口是否被修改、跳转或异常转发 |
| 参数异常 |
系统调用参数异常可能带来失败、崩溃或告警 |
4、复盘模板
| 项目 |
记录内容 |
| 调用入口 |
高层 API、ntdll 或其他路径 |
| 权限状态 |
当前用户、完整性级别、令牌权限 |
| 目标对象 |
进程、线程、文件、注册表或内存 |
| 失败原因 |
权限不足、会话隔离、保护策略、参数错误 |
| 检测结果 |
安全工具、日志、调用栈和行为链 |
5、学习检查清单
| 检查项 |
状态 |
| 能画出 Win32 API、ntdll、系统调用的大致关系 |
待复盘 |
| 能解释访问令牌和权限启用对行为的影响 |
待复盘 |
| 能说明会话隔离为什么会影响跨进程操作 |
待复盘 |
| 能从防护角度观察调用链异常和权限变化 |
待复盘 |
涉及权限边界的内容只做机制复盘和防护观察,不记录绕过、提权或未授权访问流程。