Quindi, se inserisco la mia DLL in un processo (o in tutti i processi in esecuzione, inclusi gli AV) e aggancia alcune funzioni, perché non posso semplicemente agganciare le funzioni (funzioni WinAPI) che potrebbero rilevare il processo di iniezione e hook? Ma il fatto è che non so quale API usi gli AV per rilevarlo. Conosci qualche? Oppure gli AV usano persino WINAPI per rilevare questi hook? o iniezioni?
Solo alcune domande: * Quale possibile WinAPI può essere usato per rilevare i dll iniettati o i thread sconosciuti (da CreateRemoteThread?)? Ad esempio, forse un'API che enumera tutti i processi o i thread di dll. * Se amo queste funzioni, dovrei essere in grado di nascondere il mio hook?
Quello di cui sto parlando è che, non posso agganciare le funzioni che gli AV usano per rilevare la mia attività malvagia?