技术总结
本发明公开了一种基于虚函数表劫持绕过安全检测的方法,包括:(1)获取进程中IDirect3DDevice9对象的虚函数表的地址;(2)从d3d9.h头文件中找到Present函数在IDirect3DDevice9对象所在的虚函数表中的序号;(3)构造一个用于替换系统Present函数的桩函数,该桩函数用于实现:调用开发者设计的函数,以及调用系统Present函数;(4)根据IDirect3DDevice9对象的虚函数表的地址以及Present函数在虚函数表中的序号,将IDirect3DDevice9对象的虚函数表中的Present函数替换为桩函数。本发明巧妙的利用了C++虚函数表的实现原理,通过替换IDirect3DDevice9对象所在的虚函数表中Present函数的地址,从而将IDirect3DDevice9对象的虚函数表中的Present函数替换为桩函数,从而实现了对d3d9.dll中的Present函数的劫持,最终绕过了系统的代码完整性检测。
技术研发人员:周志刚;
受保护的技术使用者:武汉斗鱼网络科技有限公司;
文档号码:201610121933
技术研发日:2016.03.03
技术公布日:2016.07.27