通过重写ring3 API函数实现免杀
这个是以前发在Tools的文章,不是我偷的!
在当前环境下,安全技术的防御能力逐渐变强,很多单纯的花式调用api也会被杀毒软件定义为恶意行为,同时杀毒软件也会通过hook用户层(ring3)函数的方式来捕捉api的调用,本文将介绍如何通过重写三环函数来实现杀毒软件的绕过。
现在我们通过Process Monitor来观察一下Windows Api的调用过程,我们通过断点追踪的方式在函数调用前单独下一个断点,以便观察windows是如何调用api的。
#include <Windows.h>
VOID WINAPI Thread(LPVOID lpParam)
{
MessageBoxW(0, 0, 0, 0);
}