《表1 反外挂DLL Hook函数》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种基于内核事件的Windows系统游戏反外挂方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

对新进程创建事件的监控主要通过监控系统中ntdll.dll模块的载入来实现，因为系统模块ntdll.dll是所有进程第1个载入的模块，此时其他系统DLL和程序自身携带的DLL都还未载入，进程的主程序也未执行，因此该方法能及时注入反外挂DLL，保证外挂进程无法逃逸检测。当检测到ntdll.dll载入时，可认定为有新进程创建，驱动进而通过内存手动映射的方式将反外挂DLL注入到进程中，由其Hook鼠标键盘模拟类的API函数，相关函数如表1所示。由于系统中的所有进程都会被注入该DLL，因而为了保证系统稳定性，不影响正常软件功能，还需对Hook函数进行进一步的过滤操作。