-
-
无需在DWM中进行HOOK的绘制方式
-
发表于: 2021-12-9 08:11
-
这个东西其实弄出来有一段时间了 最近很忙也一直没啥时间
之前问了下神话 大概了解了一下DWM绘制以及原理 顺便抄了一波代码
实际上目前大部分DWM绘制基本都依赖于寻找SwapChain并且HOOK某函数进行绘制
在一次偶然的调试中我发现 即便是在原绘制函数执行完毕之后再调用绘制也依然可以进行输出
于是就有了这份思路
不废话直接进入主题
DWM绘制路径如下 再往下的就没必要继续看了
其中VM3DUMP64为VMWARE的虚拟显卡3环驱动
在往上就是SSSDT函数了 NTGDIxxx
我觉得我说到这里已经有人明白要干什么了
首先直接讲DLL注入到DWM进程中 获取SwapChain并进行一些初始化操作 初始化完成之后可以释放钩子 对于是否可以不挂钩完成初始化我不太了解 不太懂3环的绘制原理
只要拿到了SwapChain 接下来问题就好说了
众所周知SSSDT并不受PG保护(实际上是里面的动态函数指针可以随意替换) 这也就给了一些可乘之机
只需要替换里面的动态指针即可完成函数HOOK(提示1:下面一层是dxgkrnl 这一层有相当多东西可以深挖)
(提示2:指针替换这种HOOK方式相比起一般HOOK来说难以发现许多 甚至可以用多层跳转来尽可能的伪装)
OK 在成功拦截来自DWM的绘制请求以后 就可以开始正式的绘制了
其实思路很简单
栈回潮 然后修改函数返回地址即可
最后于 2021-12-9 08:23
被章鱼C编辑
,原因:
紫梦寒
dog狗头
