Можно ли скрыть вызов api windows?

[DildoFagins]

Да ну емое, теперь не усну пока не сделаю... Спасибо большое, за ночь без сна, вот реально спасибо! Вот как дальше жить то...

Только помимо MZ-сигнатуры еще проверяй на всякий случай PE-сигнатуру, когда будешь базовый адрес искать.

 

[unbalance]

OpenProcess не даст детект, а если после него стоят VirtualAllocEx, WriteProcessMemory, CreateRemoteThread - это будет поводом задуматься для авера.

Я тоби на днях скидывал вполне легитимный метод запуска, что он детектился в рантайме? Нет,
не детектился, хоть ему тыща лет уже... Да на опен процесс так же вешается, но там все зависит от параметров.

 

[unbalance]

Да и что греха таить, чем старше метода - тем она с каждым годом меньше палится, с чем это связано не понимаю. Но если поднять темки с 2009 года, то все выглядит очень даже живенько

 

[br0]

Можно ли на ядерном уровне, имея достаточно прав, убрать хуки с сусколов + отключить фильтры ? Если да, где про это почитать ? Дайте пожалуйста направление в какую сторону копать.