> ## Documentation Index
> Fetch the complete documentation index at: https://rootea.es/llms.txt
> Use this file to discover all available pages before exploring further.

# Indirect / Direct Syscalls

> En lugar de llamar NtAllocateVirtualMemory desde ntdll.dll (donde EDR puede haber colocado userland hooks), ejecutas el syscall directamente con syscall…

# Indirect / Direct Syscalls

<p className="glossary-answer">En lugar de llamar NtAllocateVirtualMemory desde ntdll.dll (donde EDR puede haber colocado userland hooks), ejecutas el syscall directamente con syscall instruction.</p>

**Categoría:** [Red Team & Evasión](/glosario)

🎯 **Trinchera** — En lugar de llamar `NtAllocateVirtualMemory`
desde `ntdll.dll` (donde EDR puede haber colocado userland hooks),
ejecutas el syscall directamente con `syscall` instruction. **Direct**:
syscall hardcoded. **Indirect**: encontrar gadget `syscall; ret`
en `ntdll` legítima.

🔗 **Kill chain** — Tools: `SysWhispers3`, `HellHall`, `Halo's Gate`,
`Tartarus' Gate`. Indirect prefirido (no hay anomalía de
"syscall fuera de ntdll").

📡 **Huella defensiva** — ETW-TI kernel ve los syscalls igual
(no se pueden ocultar). Algunos EDR detectan ausencia de
hooked APIs en flow.

⚠️ **Falso amigo** — Direct syscalls tienen anomalía: instrucción
`syscall` desde fuera del rango `ntdll`. Indirect lo evita.

🛡️ **Remediación** — Confiar en kernel-level telemetría (ETW-TI),
no en userland hooks. SysmonForLinux equivalente.

***

← [Volver al glosario completo](/glosario)

<script type="application/ld+json">
  {`{"@context":"https://schema.org","@type":"DefinedTerm","name":"Indirect / Direct Syscalls","description":"En lugar de llamar NtAllocateVirtualMemory desde ntdll.dll (donde EDR puede haber colocado userland hooks), ejecutas el syscall directamente con syscall instruction.","inDefinedTermSet":{"@type":"DefinedTermSet","name":"Glosario táctico de pentesting","url":"https://rootea.es/glosario"},"url":"https://rootea.es/glosario/indirect-direct-syscalls"}`}
</script>

<script type="application/ld+json">
  {`{"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https://rootea.es"},{"@type":"ListItem","position":2,"name":"Glosario táctico","item":"https://rootea.es/glosario"},{"@type":"ListItem","position":3,"name":"Indirect / Direct Syscalls","item":"https://rootea.es/glosario/indirect-direct-syscalls"}]}`}
</script>

*Última actualización: 2026-06-11*
