通过验证游戏是否加载了D3D12Core.dll来判断其是否使用Dx12，只有Release模式下生成这个dll，如果是debug模式生成的dll为：d3d12SDKLayers.dll。毕竟你玩的游戏确实有可能是debug模式下编译的。因为UE5都是单独编译D3D12Core.dll的，并没有使用系统目录下的dll，所以我们同样使用开源的UE5源码编译一个游戏后，在游戏目录下将D3D12Core.dll拖入IDA中分析，需要分析这个dll的主要原因是Dx12绘制流程中最重要的一步就是使用CommandQueue对象下的虚函数ExecuteCommandLists来提交所有需要绘制的内容，我们需要获取到CommandQueue对象，Hook这个对象实时调用的任意一个虚函数取rcx都可以达到目的。开源代码中基本都是Hook ExecuteCommandLists，那么我们只需要定位函数并获取到他的Index即可。
UE引擎下的 ExecuteCommandLists 特征码：

ExecuteCommandLists 在CommandQueue中的index=10。
你如果使用系统目录下的dll定位特征的话在游戏中可能是搜索不到的。
Dxgi.dll使用系统目录下的，拖入IDA中后，查找：

将其偏移记录，方便等等定位。
和Dx11一样，Hook代码基本就抄ImGui的源码即可，不需要什么技术含量。

接下来我们打开游戏，进行简单演示。我们定位到present函数，在头部下断。断下后查看堆栈返回。

这种堆栈是很常见的开启了GPU加速以及超分辨率模式，我们就不能像以前一样直接看上一层的代码了，我们需要直接定位到他返回到主模块的地址。你更换不同的超分辨模式这里加载的dll就是其他名称了，思路都是一样的直接找到主模块下的返回地址。漫xx雄与界xx潮都是一样的处理方式。

在mov rax, [rcx]，调用时获取到rcx的值，替换成我们的虚表，即可完成对CDXGISwapChain对象的虚表的替换。那我们定位这里的特征码：

接下来在CE中搜索ExecuteCommandLists函数的特征码，定位到这个函数的头部下断，查看堆栈返回。

此时可以注意到函数的头部不是正常的头部，被经典5字节Hook了，我们进入这个函数查看：

这种情况其实对于这个游戏而言其实在多处使用到，比如FName::ToString、StaticFindObject等等很多函数都用到了。他就是简单看看是不是游戏自身调用的函数，如果是被Hook调用或者说是堆栈返回有异常的让你调用无效。他的内部肯定是要还原头部5字节的：

我们在堆栈中找到调用的返回处，往上滑：

我们定位到mov r9， [r12]的位置，调用时获取r12的值，替换CommandQueue对象的虚表。
获取到特征码：

基础数据我们获取完了，接下来我们使用硬件断点进行Hook就行。


Hook函数

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！