探索安全的系统调用新境界：BouncyGate

探索安全的系统调用新境界：BouncyGate

1、项目介绍

BouncyGate 是一个由@zimawhit3的HellsGate实现改造而来的Nim语言项目。它通过替换所有直接的系统调用指令，使所有系统调用都通过NTDLL库中的syscall指令进行。这一独特设计的目的是演示如何规避AMSI（Advanced Malware Scan Interface）以实现PoC（Proof of Concept）。

该项目受到VX Underground中smelly__vx和am0nsec关于HellsGate论文的启发，旨在提供一种创新的安全研究方法。

2、项目技术分析

BouncyGate的核心是将系统调用指令替换为对NTDLL中的相应syscall地址的JMP操作。这样，在执行特定系统调用时，不是直接执行原生的系统调用，而是先跳转到NTDLL，然后在该库内部执行。这种方法有效地隐藏了系统的原始调用路径，增加了代码的复杂性和可变性，从而可能提高恶意软件逃避检测的能力。

项目提供了定义和解析系统调用的方法，例如NtProtectVirtualMemory的例子，展示了如何在运行时动态解析系统调用号并使用它们。

3、项目及技术应用场景

BouncyGate适合于：

1. 安全性研究：对于想要深入理解系统调用机制、研究如何绕过反病毒软件的高级研究人员来说，这是一个极好的实践平台。
2. 逆向工程：在逆向工程领域，这个项目可以帮助理解如何通过非典型方式触发系统调用。
3. 安全测试工具开发：开发者可以利用这种方式来构建安全测试工具，评估系统或应用程序的抗攻击能力。

4、项目特点

• 创新的系统调用模式：不直接执行系统调用，而是通过NTDLL库间接实现，增加了代码隐蔽性。
• 灵活的API设计：允许动态解析和使用系统调用，易于与其他代码集成。
• 教育价值：为学习和理解系统调用、反恶意软件策略提供了实际案例。
• 安全研究社区支持：源自学术界的研究成果，并有社区持续更新和讨论。

如果你对系统调用的规避、安全研究或者逆向工程感兴趣，BouncyGate绝对值得你一试。安装必要的mingw环境后，按照项目文档简单几步就可以开始你的探索之旅。让我们一起在这片充满挑战的领域中跳跃吧！