检测 Dx劫持窗口绘制 外部窗口绘制

发表于 2018-01-20  834 次阅读


首先根据上一篇 画板绘制为例的劫持微软画板进程窗口绘制的代码为例来检测他
启动例子打开火绒:


根据以上可得 思路:Check 外部绘制 Dx劫持窗口绘制 Event:DWM_DX_FULLSCREEN_TRANSITION_EVENT key:Direct3D Dirrect3D\Drivers 父进程 窗口样式属性
1检测方法:貌似使用了dxAPI的程序都会有些特殊的注册表句柄 以及各种专有对象 以及创建的呗劫持进程的父进程是他(嗯这个不能作为重要监测点)
综上所述:ZWQUERYOBJECT大法 检测对象 带有透明样式的窗体的父进程(有无可疑代码(injection的DLL))条件差不多符合就ban

本站文章基于国际协议BY-NA-SA 4.0协议共享;
如未特殊说明,本站文章皆为原创文章,请规范转载。

0

博客管理员