红队队开发基础-基础免杀(二)
# 红队开发基础:系统调用与API调用模式规避技术
## 引言
本文详细介绍了红队开发中两种基础免杀技术:使用直接系统调用并规避"系统调用标记"和规避常见的恶意API调用模式。这些技术主要用于绕过EDR(终端检测与响应)产品的检测机制。
## 系统调用基础知识
### 权限级别与系统调用流程
- Windows系统有四个权限级别(R0-R3),其中:
- R0:内核态,最高权限
- R3:用户态,最低权限
- R1和R2用于运行设备驱动
- 用户态(R3)到内核态(R0)
2025-08-27 02:50:53
0