Q&A
何か誤解があるようです。
APIフック、DLL インジェクションについてググってみましょう。
デバッグ検知をバイパスしたく、DLLインジェクションによるAPI HOOKを考えています。
具体的には、レジストリのAppInit_DLLsにオリジナルのDLLを登録し、実装しようとしています。
オリジナルDLLは、
SetWindowsHookExAを用いて、
Kernel32.IsDebuggerPresent(デバッグ検知)が呼ばれた時に、固定値をリターンしようと思っていますが、
Hook関連の書き方が、いくら調べてもわかりません!!
DLLインジェクションなので、デバッグ検知を行うプログラムと、オリジナルのデバッグ回避DLLは同じスレッドだと考えています。
教えてほしいこと
① SetWindowsHookExAの引数はどのようにすればいいですか??
② Hookした際に呼び出される関数とSetWindowsHookExAはどうやって連携させればいいですか?
当方の知識と経験
・書ける言語
C#、VBS、JS、Python、PowerShell
・経験
5年(オブジェクト指向、ハンドル、スコープなどは一通り理解)
いろいろ調べて行き着いたのが現状なのですが、具体的に何を勘違いしているのでしょうか?
あなたのやりたいことは SetWindowsHookEx では実現できません。
「IAT テーブル」で検索してみてください。
ありがとうございます!
なんとなく、この関数は違うような気もしていましたが、否定してくださり助かりました。
インポートアドレステーブルについて調べていたところ、下記のサイトにたどり着いたのですが、目指すベクトルとして誤りはありませんでしょうか??
https://qiita.com/MachineHunter/items/3685e55f12969b56bede
大丈夫だと思います。
あなたの回答
tips
プレビュー
