Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?
Nicht wirklich effizient. Wenn ich Hooks gezielt umgehen will, dann "manual mappe" ich die entsprechende
Dll, parse noch schnell die EAT und hole mir die Funktionsadressen somit komplett ohne irgendwelche
API Aufrufe.
Da das manuelle Laden der
Dll auch nicht ohne Weiteres festgestellt werden kann, ist davon auszugehen, dass auch keine Inline Hooks mehr im Code aktiv sind.
Und wenn man ganz viel Zeit zu viel hat, dann bastelt man sich für jede Windows Version eine Syscall-Table. Kennt man die entsprechenden Interrupt Nummern (sieht man in der ntdll.dll auf den ersten Blick in fast jeder nativen
API), kann man über das direkte Ausführen der SYSCALL Instruction auch die entsprechende
API im Kernel ansprechen.
An sich ist da was dran, aber wer macht sich schon die Mühe?
Ich meine das sind ja nicht die 99% der Viren, die unterwegs sind (behaupte ich einfach mal)
Ja gut wer sich so viel Arbeit macht hat es auch verdient nicht gehookt zu werden
eben