Ho ricercato l'aggancio di IAT da parte di malware e ho ancora alcune domande:
-
Se l'IAT del programma in memoria è diverso dallo IAT del programma statico (prima che sia stato eseguito) ciò implica un hook api?
-
Come vengono rilevati ho letto la domanda qui: Quali sono i metodi per trovare funzioni e API agganciate? ma sono ancora confuso potresti fornire una spiegazione passo passo di base?
-
Esistono usi legittimi per l'hook delle API diversi dagli antivirus che potrebbero portare a falsi positivi in uno strumento di rilevamento?