Zitat:
Darin werden erstmal alle APIs, die ich verwende auf JMPs gescannt und diese auf den Original EP zurückgeschrieben (um
API Hooks zu umgehen).
Dir ist klar, dass dir damit eine Menge Hooks durch die Finger gehen?
Was ist mit:
PUSH <Adress>
RET
PUSH <Adress>
JMP ESP
MOV EAX, <Adress>
JMP/CALL EAX
Da gibt es noch viel mehr Variationen des Code Overwriting.
Manchmal wird auch viel Später in der Funktion gehooked.
Es reicht also nicht nur am Anfang zu schauen.