文章总结: 本文探讨了Ring3层API重写技术以绕过安全软件钩子的方法,指出360采用内核hook而火绒使用回调机制,并分析在ntdll挂钩的性能优势。通过编写创建线程的示例代码,结合ProcessMonitor监控线程创建事件,为绕过安全检测提供了实践思路。 综合评分: 65 文章分类: 免杀,逆向分析,红队,实战经验,二进制安全
Ring3重写API绕过钩子
原创
hack07 hack07
网络攻防研究
2026年3月31日 16:45 上海
360是在内核里面进行hook,火绒通过回调。还有一些通过在ntdll里面进行挂钩(因为在ntdll挂钩性能是比在内核里面挂钩好的)。下图可以看到上面的就是k,就是进入内核了,下面的U就是用户。
我们写一段创建线程的代码:
#include<Windows.h>VOID WINAPI Thread(LPVOID lpParam) {MessageBoxA(0, 0, 0, 0);}int main() {CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Thread, 0, 0, 0);system("pause");}
然后打开process monitor,进行捕获,添加如下过滤条件:
- process name is my.exe
- operation is Thread Create
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络攻防研究 hack07 hack07《Ring3重写API绕过钩子》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论