查看原文
其他

聊天软件不让截图?我偏要!破解它!

轩辕之风 轩辕的编程宇宙
2024-10-21

大家好,我是轩辕。

前几天,我的逆向学习二群有小伙伴反映:他手里有个聊天软件,每次一截图,聊天窗口就不见了,甚至按键盘上的PrtSc截图键截下来都没有这个聊天窗口的内容,他想尽各种办法,就是截不了这个软件的图。

听他这么一描述,我还有些好奇了起来。首先怀疑的是这软件是不是安装了什么消息钩子,通过监听键盘按键,禁止截图,于是有人建议他换个快捷键,结果发现也不行:

于是我建议让他手动点击微信的截图按钮,不要敲键盘,结果还是不行:

有群友建议他使用录屏功能,直接录视频,发现居然仍然不行!

这一下挑起了我的兴趣,这软件还真有两下子啊。

基于这么多操作都不行,于是我怀疑是不是这软件安装了什么内核驱动,在内核里面拦截捕捉屏幕像素内容的操作,于是建议用PChunter查一下:

鉴于这位小伙伴不是太会操作,于是我找他要到了这个聊天软件的安装包,自己安装了来研究。结果发现居然啥驱动都没装!也没有什么可疑的钩子行为。甚至连软件的登录界面都截不了图!

这一下让我皱眉头了,一个普通应用程序,它是咋做到这一切的?难道是有什么我不知道的操作?【本文来自微信公众号:轩辕的编程宇宙,未经许可,禁止搬运

于是我打开ChatGPT,把上面的现象给它描述了一下,他告诉了我一个系统API,这个API可以办到这样的效果,这个API就是:SetWindowDisplayAffinity

根据MSDN的描述,这个函数可以用来设置窗口不被任何屏幕录制行为捕获:

为了验证这聊天软件是不是通过这个API实现的,我用APImonitor抓了一下它启动的过程,果然发现了对这个函数的调用,而且第二个参数传递的值正是上面的0x11,也就是17。

问题搞清楚了,想要破解就好办了,再调用一下这个函数,把第二个参数设置为0,解除对窗口的保护就好了。

不过要注意,根据MSDN的描述,调用这个函数必须要窗口属于当前进程才行,无法操作别的进程的窗口。所以我们得让那个聊天软件自己去调用这个函数解除它的窗口保护。【本文来自微信公众号:轩辕的编程宇宙,未经许可,禁止搬运】

那如何让聊天软件主动去干这件事呢?用我们第26课学到的DLL注入就好了:我们编写一个DLL,在DLL里面调用这个函数解除窗口保护,然后把DLL注入到目标聊天软件进程中就好了。

我们先用Spy++看一下要解除保护的窗口,通过上面APImonitor中抓到的两次调用SetWindowDisplayAffinity函数所设置的两个窗口句柄值在Spy++中找到这两个窗口:

查看两个窗口的窗口类和窗口名称,接下来,写代码解除保护:

在DLL加载的时候就执行上述动作:

BOOL APIENTRY DllMain(HMODULE hModule,
 DWORD  ul_reason_for_call,
 LPVOID lpReserved
)
{
    // 注释:本代码来自公众号:轩辕的编程宇宙
 switch (ul_reason_for_call)
 {
 case DLL_PROCESS_ATTACH:
  MessageBoxA(NULL"dll注入成功!""CaptureCrack", MB_OK);
  Work();
  break;
 case DLL_THREAD_ATTACH:
 case DLL_THREAD_DETACH:
 case DLL_PROCESS_DETACH:
  break;
 }
 return TRUE;
}

接下来,把DLL注入进去:

int main(int argc, char* argv[])
{
    // 注释:本代码来自公众号:轩辕的编程宇宙
 DWORD dwProcessId = 4092; // 需要自己找到对应进程ID
 LPVOID pfnLoadLibraryA = GetFunctionAddress(dwProcessId, "kernel32.dll""LoadLibraryA");


 // 2、拿到进程的句柄
 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
 if (!hProcess) {
  printf("can not open process!\n");
  return 0;
 }

 // 3、在进程中分配内存
 LPVOID address = VirtualAllocEx(hProcess, NULL100, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
 if (!address) {
  printf("VirtualAllocEx failed!\n");
  return 0;
 }

 // 4、向分配到的内存中写入要注入的DLL路径,作为参数
 SIZE_T writeBytes = 0;
 const char* dllPath = "CaptureCrack.dll";
 if (!WriteProcessMemory(hProcess, address, dllPath, strlen(dllPath) + 1, &writeBytes)) {
  printf("WriteProcessMemory failed!\n");
  return 0;
 }


 // 5、创建远程线程
 HANDLE hThread = CreateRemoteThread(hProcess, NULL0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryA, address, NULLNULL);
 if (!hThread) {
  printf("CreateRemoteThread failed!\n");
  return 0;
 }

 WaitForSingleObject(hThread, INFINITE);

 CloseHandle(hProcess);
 CloseHandle(hThread);

 return 0;
}

最后,执行成功,终于可以截图了:

上面的办法,不是个长久之计,因为程序重启后,又得要重新注入来改。挺麻烦的,那有没有一劳永逸的办法呢?

还真有!直接逆向分析找到程序调用SetWindowDisplayAffinity函数的地方,找到第二个参数传参的指令,直接修改exe文件中的指令参数,把它改为0,保存exe文件就好了!

今天的分享就是这样了,如果觉得有用的话,欢迎分享评论转发支持一下~

也欢迎大家加入我们的逆向学习:


继续滑动看下一个
轩辕的编程宇宙
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存