权限组发现: API钩取式权限信息隐蔽采集

API钩取式权限信息隐蔽采集（API Hooking-Based Stealthy Privilege Harvesting）是通过篡改系统权限管理API函数实现透明化数据收集的技术。攻击者在内核层或用户层植入定制化钩子，在系统执行常规权限校验时同步捕获组策略数据，将权限发现过程与合法业务操作深度融合。该技术不产生独立的权限查询行为痕迹，而是将数据采集嵌入到系统正常的身份验证、访问控制等业务流程中，实现"无感化"信息收集。

匿迹机制的实现依托于多层钩取技术与数据融合分析：首先通过驱动级SSDT Hook或ETW提供程序注入，劫持NTQuerySystemInformation、SamrQueryInformationUser等关键API；其次设计轻量级过滤规则，仅捕获与目标用户/组相关的权限数据包，降低数据处理负载；最后采用写时复制（Copy-on-Write）技术动态修改API返回结果，确保原始系统功能不受影响。例如在域控制器上钩取GetADGroupMember API时，攻击者实时提取查询结果并注入伪造的成功响应，使得防御方既无法通过API监控发现异常调用，也无法通过结果校验识别数据泄露。这种深度系统集成式攻击将权限发现转化为系统正常运行的"副作用"，极大提高了检测难度。