SetWindowsHookEx no se usa realmente para este tipo de enganche que yo sepa.

Puede conectar NtSetInformationThread en la importación del binario que desea analizar y hacer que siempre devuelva el éxito en ThreadHideFromDebugger pero no reenvíe la llamada a la función real. Esto sería débil ya que GetProcAddress o las importaciones manuales lo omitirían.

Puede conectar la función NtSetInformationThread insertando una llamada a su propia función en el prólogo de la función y luego ignorar ThreadHideFromDebugger mientras reenvía el resto a la función original .

Le recomiendo firmemente que no lo haga, pero en aras de la integridad, también puede enganchar NtSetInformationThread en la tabla de despacho del servicio del sistema. Hay un buen volcado de la tabla para diferentes versiones de Windows aquí. Si desea obtener el índice en la tabla usted mismo, simplemente puede desensamblar la exportación NtSetInformationThread de ntdll.dll.

Si está interesado en más técnicas anti-depuración, le recomendamos que lea Peter Ferrie's awesome referencia contra la depuración.