옛날에는 윈도우 커널에다가


SSDT 라는 테이블이 있는데


이걸 후킹해서 유저 레벨에서 콜이 들어오면 


필터를 한번 거쳐서 감지하거나 했음


이걸 역으로 악성 프로그램 "루트킷" 개발자들이 이용하기도 했는데


하도 커널 가지고 장난질하니까


윈도우가 일정 버전 이상 64비트 이상부터


커널에 패치가드라는 시스템이 도입됌


커널 메모리를 강제로 건드려서 조작하면 커널에서 주기적으로 메모리 시그니처를 검사해서 이상한 부분이 있으면 블루스크린 유발을 해버림 (이것도 우회 ㄱㄴ)


대표적으로 저런 방법도 있고


유저 레벨 프로세스에 전부 보안 모듈 인젝션 때려서 API 후킹 갈겨버릴 때도 있삼 << (이것도 우회가능)