Найти тему
3 подписчика

Снимаем крючки. Познаем анхукинг ntdll.dll. Часть 2


Снятие хука через KnownDlls

KnownDlls — спе­циаль­ный раз­дел в реес­тре, где содер­жатся DLL, которые заг­рузчик Windows исполь­зует для опти­миза­ции про­цес­са заг­рузки при­ложе­ний. В Windows XP и более ран­них вер­сиях каталог KnownDlls рас­полагал­ся в пап­ке C:\Windows\System32. В более новых вер­сиях Windows этот каталог встро­ен в ОС, поэто­му пря­мого дос­тупа к нему нет. Спи­сок всех «извес­тных» DLL мож­но най­ти вот в этом раз­деле реес­тра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

https://telegra.ph/Snimaem-kryuchki-Poznaem-anhuking-ntdlldll-CHast-2
Около минуты