文章总结: 本文探讨Ring3层重写API以绕过安全软件钩子的技术,对比360内核HOOK、火绒回调及ntdll挂钩的性能差异,通过CreateThread代码示例和ProcessMonitor捕获线程创建事件展示实操方法。 综合评分: 93 文章分类: 逆向分析,免杀,红队,内网渗透,安全工具
Ring3重写API绕过钩子
原创
hack07 hack07
网络攻防研究
2026年3月31日 16:45 上海
在小说阅读器读本章
去阅读
360是在内核里面进行hook,火绒通过回调。还有一些通过在ntdll里面进行挂钩(因为在ntdll挂钩性能是比在内核里面挂钩好的)。下图可以看到上面的就是k,就是进入内核了,下面的U就是用户。
我们写一段创建线程的代码:
#include<Windows.h>VOID WINAPI Thread(LPVOID lpParam) {MessageBoxA(0, 0, 0, 0);}int main() {CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Thread, 0, 0, 0);system("pause");}
然后打开process monitor,进行捕获,添加如下过滤条件:
- process name is my.exe
- operation is Thread Create
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络攻防研究 hack07 hack07《Ring3重写API绕过钩子》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论