Легально, но опасно. В открытый доступ попал код для подмены системных вызовов

leer en español

LazyHook hwbp Microsoft Windows AMSI подмена вызовов защита систем
Легально, но опасно. В открытый доступ попал код для подмены системных вызовов
LazyHook hwbp Microsoft Windows AMSI подмена вызовов защита систем

Следов вторжения через LazyHook не найдёт даже самый внимательный сканер.

image

Новый проект в открытом доступе привлёк внимание технического сообщества из-за попытки обойти современные механизмы защиты рабочих станций. Разработчик под ником hwbp опубликовал на GitHub фреймворк LazyHook, демонстрирующий способ незаметного перехвата системных функций через аппаратные точки останова и механизм обработчиков исключений. Такой подход позволяет запускать произвольный код внутри доверенной цепочки вызовов, что вводит в заблуждение средства поведенческого контроля.

В описании проекта отмечается, что многие защитные решения анализируют происхождение вызовов, проверяют цифровую подпись модулей и отслеживают подозрительные последовательности системных функций. LazyHook подменяет контекст так, что инициатором операций выглядит библиотека Microsoft, а не сторонний компонент. Поскольку метод не изменяет память процесса, проверки целостности пропускают вмешательство.

Создатель проекта подчёркивает использование сочетания аппаратных регистров отладки и перенаправления выполнения через единичные пошаговые исключения. В таком режиме обработчик отслеживает обращение к целевой функции и временно переключает поток на заранее заданную логику, после чего возвращает выполнение в исходный код. Для сохранения корректного поведения предусмотрена возможность вызвать оригинальную функцию без активной точки останова.

В репозитории приведены примеры применения. Один из них иллюстрирует вмешательство в работу MessageBoxA с заменой отображаемого текста. Другой демонстрирует перехват CreateFileA для фиксации операций с файлами без изменения работы приложения. Отдельно показано вмешательство в механизм AMSI, где проверка данных искусственно помечается как безопасная. Авторы подчёркивают, что это иллюстрация риска для защитных систем, полагающихся на доверенную цепочку вызовов.

Разработчик обращает внимание, что подобные методы могут использоваться только в рамках легальных задач — от учебных целей до моделирования атак в контролируемой среде. Он предупреждает, что попытки применить подобные техники для обхода реальных средств защиты без разрешения нарушают законодательство.