Phương pháp unhooking API có thể đánh lừa hầu hết các sản phẩm AV thực hiện phân tích hành vi của họ trong chế độ người dùng. Điều này tuy nhiên không đánh lừa đủ, công cụ phân tích tự động sandbox như chim cu Sandbox. Cu cu dường như có thể phát hiện nếu API móc, nó đưa ra, đã được gỡ bỏ. Điều đó làm cho các phương pháp trước đó không có hiệu quả trong thời gian dài.Tôi nghĩ ra một phương pháp trên làm thế nào để vượt qua AV/sandbox giám sát. Tôi là tích cực, nó sẽ làm việc, mặc dù tôi chưa đưa vào thực hiện. Có chắc chắn là đã phần mềm độc hại ra khỏi đó thực hiện kỹ thuật này.Trước hết, tôi phải đề cập đến thư viện ntdll.dll rằng phục vụ như thông qua trực tiếp giữa người sử dụng chế độ và chế độ hạt nhân. Các API xuất khẩu trực tiếp giao tiếp với hạt nhân Windows bằng cách sử dụng syscalls. Hầu hết các thư viện Windows khác cuối cùng gọi API từ ntdll.dll.Chúng ta hãy nhìn bộ luật của ZwCreateFile API từ ntdll.dll trên Windows 7 trong chế độ WOW64:
đang được dịch, vui lòng đợi..