Я занимаюсь анализом вредоносных программ с использованием Cuckoo Sandbox.В рамках моей работы мне нужно перехватывать вызовы API, выполняемые исполняемыми файлами, для выполнения дополнительных задач.
Мое первоначальное исследование предлагает мне использовать либо Windows Detours, либо mhook .Оба они используют встроенные крюки.Они перезаписывают первые несколько байтов функции traget и заменяют ее инструкцией по длинному переходу для функции батута.
Но проблема в том, что Cuckoo Sandbox также использует встроенные хуки и перезаписывает первые несколько байтов функций для создания хука.
Мой вопрос, прежде чем я начну писать хуки, заключается в том, будет ли мой хук работать при наличии крючков с песочницей кукушки или перехватывать крючок кукушки моим крючком.Смогу ли я вообще ловить при наличии крючков с песочницей Cuckoo?