摘机 一个小的过于注释完善的POC,用于删除AV / EDR放置的API挂钩。 概述 此回购协议是删除给定DLL中的AV / EDR挂钩(在本例中为ntdll.dll )的一个小概念证明。 它最初由编写,位于。 感谢一尘不染! 我对功能进行了一些小的更改,并添加了有关流程以及所涉及功能的许多新注释和文档。 这主要是为了帮助自己更好地理解如何克服API挂钩,并希望这些注释也能对其他人有所帮助。 这是写陪伴我的博客文章。