Кажется, я понял, о чем ты. Ты совершенно прав, утверждая, что можно хитрым образом передавать управление на код нужной API-функции. Минуя пролог, допустим, или как-нибудь еще. Поэтому можно спуститься ниже - на уровень ntdll.dll и хватать функции там. Правда и программа может быть написана кем-нибудь обезбашенным и передавать управление тут же в ntdll.dll, опять таки, минуя пролог. Или, вообще, напрямую задавать sysenter/int 2e. Ну и как ты это отслеживать собрался? В юзермоде-то?

"Минуя пролог, допустим, или как-нибудь еще" (хе-хе) - исполняя все тело, зная число передаваемых параметров, например messageboxa/w - 4*4, дизасмить, искать retn 16.
и исполнять от push ebp - до retn 16, тогда как :)?
"программа может быть написана кем-нибудь обезбашенным и передавать управление тут же в ntdll.dll, опять таки, минуя пролог. Или, вообще, напрямую задавать sysenter/int 2e" - согласен в user mod'e отдыхает, но так кто мешает
дизасмить ntoskrnl и исполнять тело нужной функции.
Я все больше убеждаюсь, что нет общего решения, как не давать обходить хуки.

„
согласен в user mod'e отдыхает, но так кто мешает
дизасмить ntoskrnl и исполнять тело нужной функции.
“
Хорошо ты пошутил. Это в юзермоде-то? :)

„
Я все больше убеждаюсь, что нет общего решения, как не давать обходить хуки.“

Если какой-нибудь r0 хук подменяет содержимое ntdll.dll при чтении, то хуки ты не сможешь обойти.

Вот мой пост про ядровый антихукинг, где все более серьезно:
Kernel mode antihooking by building our own kernel

"Хорошо ты пошутил. Это в юзермоде-то?"
нет естесвенно :)

"Если какой-нибудь r0 хук подменяет содержимое ntdll.dll при чтении, то хуки ты не сможешь обойти. "
Нет факт, что поймает при чтении файла, а почему бы не определить тела нужных функций (для разных версий win понятное дело), а потом зашить их, и исполнять:) и не надо читать, ntdll (в user mode )
или ntoskrnl.sys (понятно где :)) Согласен, что это не очень красиво, зато возможно.
А пост ядренный, это я сразу скажу, даже не читая :)

прочитал, подумал, идей по обходу нет. Вопрос остаеться открытым.