分类
游戏安全

检测 Dx劫持窗口绘制 外部窗口绘制

首先根据上一篇 画板绘制为例的劫持微软画板进程窗口绘制的代码为例来检测他
启动例子打开火绒:


根据以上可得 思路:Check 外部绘制 Dx劫持窗口绘制 Event:DWM_DX_FULLSCREEN_TRANSITION_EVENT key:Direct3D Dirrect3D\Drivers 父进程 窗口样式属性
1检测方法:貌似使用了dxAPI的程序都会有些特殊的注册表句柄 以及各种专有对象 以及创建的呗劫持进程的父进程是他(嗯这个不能作为重要监测点)
综上所述:ZWQUERYOBJECT大法 检测对象 带有透明样式的窗体的父进程(有无可疑代码(injection的DLL))条件差不多符合就ban

0 0 vote
文章评分

由FAKE

Через тернии к звездам,
через радость и слезы
Мы проложим дорогу

Subscribe
提醒
guest
你的昵称 用于分别你是谁
你的电子邮箱 用于被回复时通知
1 评论
Inline Feedbacks
View all comments
dragd1024
dragd1024
游客
2020年6月26日 下午5:44

您好 我有一些小问题,关于检测dx窗口的。
您在文中提到的dx窗口的父进程,是如何得到的?
我的理解是窗口->获取窗口进程->获取进程的父进程 是这样吗?
还是说可以直接查询到一个dx窗口的绘制进程…很是好奇