Анхукинг ntdll.dll

Снимаем крючки. Познаем анхукинг ntdll.dll. Часть 2 Снятие хука через KnownDlls KnownDlls — спе­циаль­ный раз­дел в реес­тре, где содер­жатся DLL, которые заг­рузчик Windows исполь­зует для опти­миза­ции про­цес­са заг­рузки при­ложе­ний. В Windows XP и более ран­них вер­сиях каталог KnownDlls рас­полагал­ся в пап­ке C:\Windows\System32. В более новых вер­сиях Windows этот каталог встро­ен в ОС, поэто­му пря­мого дос­тупа к нему нет. Спи­сок всех «извес­тных» DLL мож­но най­ти вот в этом раз­деле реес­тра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs https://telegra.ph/Snimaem-kryuchki-Poznaem-anhuking-ntdlldll-CHast-2

Снимаем крючки. Познаем анхукинг ntdll.dll. Часть 1 Средс­тва защиты, в час­тнос­ти EDR, любят ста­вить хуки. Хук — это спе­циаль­ная инс­трук­ция, которая поз­воля­ет перех­ватить поток управле­ния прог­раммы при вызове опре­делен­ной фун­кции и в резуль­тате кон­тро­лиро­вать, отсле­живать и изме­нять дан­ные, передан­ные этой фун­кции. В этой статье я покажу, как про­водить обратный про­цесс — анху­кинг. https://telegra.ph/Snimaem-kryuchki-Poznaem-anhuking-ntdlldll-CHast-1