这一节对应 04.5 - 05.1。主题从“用户态 API 怎么被调用”延伸到“权限、会话、令牌和系统调用边界”。这部分适合从防护视角理解 API、ntdll、内核接口和访问控制之间的关系。

1、内容范围

小节 主题
04.5 API 执行调用路线及高级调用
04.6 过滤系统调用通用思路
04.7 ntdll 跳板过滤与应用层调用链
04.8 用户 APC 强制唤醒触发调度思路
04.9 Session 会话隔离
05.0 进程访问令牌与权限提升
05.1 高级远程线程注入

1.1、逐节复盘

小节 主要内容 复盘点
04.5 梳理应用层 API、ntdll、系统调用和内核处理的调用路线 建立调用链概念,方便之后看 Hook 和检测绕行痕迹
04.6 理解过滤系统调用的常见观察位置 关注用户态 API、ntdll 入口、调用栈和返回值差异
04.7 认识 ntdll 跳板与系统调用入口的关系 防护侧重点是异常调用路径、模块完整性和内存页属性
04.8 理解用户 APC 强制唤醒与线程调度关系 观察线程状态、APC 触发时机和异常事件
04.9 了解 Session 隔离对跨会话行为的限制 记录用户、会话 ID、桌面对象和权限边界
05.0 从访问令牌理解进程权限、完整性级别和特权 复盘令牌信息、权限变更和失败错误码
05.1 汇总更复杂远程线程类行为的检测点 重点仍是句柄、内存、线程入口、模块和时间线

2、机制关系

层次 复盘重点
Win32 API 高层接口,便于开发,也便于 Hook 和日志观察
ntdll 用户态到内核态的重要过渡层,常用于调用链分析
系统调用 进入内核服务,权限和参数校验不可忽略
访问令牌 决定进程/线程拥有哪些权限和身份
会话隔离 不同 Session 的交互限制影响跨进程操作

3、防护观察

观察点 说明
调用链 是否绕过常见高层 API,直接走更底层接口
权限变化 令牌权限是否被调整,是否出现异常特权启用
会话边界 是否存在跨会话操作尝试或失败日志
ntdll 完整性 关注用户态入口是否被修改、跳转或异常转发
参数异常 系统调用参数异常可能带来失败、崩溃或告警

4、复盘模板

项目 记录内容
调用入口 高层 API、ntdll 或其他路径
权限状态 当前用户、完整性级别、令牌权限
目标对象 进程、线程、文件、注册表或内存
失败原因 权限不足、会话隔离、保护策略、参数错误
检测结果 安全工具、日志、调用栈和行为链

5、学习检查清单

检查项 状态
能画出 Win32 API、ntdll、系统调用的大致关系 待复盘
能解释访问令牌和权限启用对行为的影响 待复盘
能说明会话隔离为什么会影响跨进程操作 待复盘
能从防护角度观察调用链异常和权限变化 待复盘

涉及权限边界的内容只做机制复盘和防护观察,不记录绕过、提权或未授权访问流程。