SetWindowsHookEx se pro tento druh hákování opravdu nepoužívá, pokud vím.

Můžete importovat NtSetInformationThread při importu binárního souboru, který chcete analyzovat, a zajistit, aby vždy vrátil úspěch na ThreadHideFromDebugger, ale nepřeposlal volání skutečné funkci. To by bylo slabé, protože by to GetProcAddress nebo manuální import obešel.

Funkci NtSetInformationThread byste mohli zavěsit vložením volání své vlastní funkce do prologu funkce a poté ignorovat ThreadHideFromDebugger a zbytek předat původní funkci .

Velmi se proti tomu radím, ale pro úplnost můžete také připojit NtSetInformationThread do tabulky odeslání systémové služby. zde je dobrý výpis tabulky pro různé verze Windows. Pokud chcete získat index v tabulce sami, můžete jednoduše rozebrat export NtSetInformationThread z ntdll.dll.

Pokud vás zajímá více anti-debugovacích technik, důrazně doporučujeme přečíst Úžasné Peter Ferrie anti-debugging reference.