《表1 反外挂DLL Hook函数》
提示:宽带有限、当前游客访问压缩模式
本系列图表出处文件名:随高清版一同展现
《一种基于内核事件的Windows系统游戏反外挂方法》
对新进程创建事件的监控主要通过监控系统中ntdll.dll模块的载入来实现,因为系统模块ntdll.dll是所有进程第1个载入的模块,此时其他系统DLL和程序自身携带的DLL都还未载入,进程的主程序也未执行,因此该方法能及时注入反外挂DLL,保证外挂进程无法逃逸检测。当检测到ntdll.dll载入时,可认定为有新进程创建,驱动进而通过内存手动映射的方式将反外挂DLL注入到进程中,由其Hook鼠标键盘模拟类的API函数,相关函数如表1所示。由于系统中的所有进程都会被注入该DLL,因而为了保证系统稳定性,不影响正常软件功能,还需对Hook函数进行进一步的过滤操作。
图表编号 | XD00220300500 严禁用于非法目的 |
---|---|
绘制时间 | 2020.09.01 |
作者 | 傅建明、杨铮、罗陈可、黄坚伟 |
绘制单位 | 武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室、武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室、武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室、武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室 |
更多格式 | 高清、无水印(增值服务) |