Este projeto demonstra um API Hook em modo usuário da função NtEnumerateKey (ntdll.dll) para ocultar chaves do Registro do Windows durante enumeração. É um Proof of Concept (PoC) focado em estudos de Windows Internals, API Hooking e evasão em userland.
- Instala um inline hook (jmp absoluto x64) em NtEnumerateKey
- Oculta chaves do Registro que contenham nomes específicos
- Intercepta KeyBasicInformation e KeyNameInformation
- Retorna STATUS_NO_MORE_ENTRIES ao encontrar uma chave oculta
- Restaura os bytes originais ao remover o hook
- FutureRootkit
- FutureQuentao.exe
- Futurezada.dll
- Future7
A comparação é feita de forma case-insensitive.
- Inline Hook em ntdll.dll
- Patch de função com FF 25 (jmp absoluto)
- VirtualProtect para alterar proteção de memória
- DLL Injection para ativação do hook
- DllMain: instala e remove o hook
- HookedNtEnumerateKey: filtra nomes de chaves
- InstallHook / RemoveHook: aplica e restaura o patch
Este código é educacional. Use apenas para pesquisa e aprendizado em ambientes controlados. Não me responsabilizo por usos indevidos.
- Windows x64
- MSVC (Release)
Uso livre para fins educacionais.