我一直对 ProcMon 提供的服务数量之多感到惊讶,但检测屏幕截图这一主题对我来说仍然未得到探索。如果我每天使用的程序恶意截取我的屏幕截图——我有充分的理由相信它们确实如此——那么如何检测这种行为呢?
答案1
我不认为 Process Monitor 是实现该功能的工具。原因是它列出了 Windows 消息和事件,而截屏是通过调用 API 函数来完成的,主要是 BitBlt 函数。
只有能够挂接必要 API 调用的产品所有正在执行的进程 可以通过检测在窗口隐藏、最小化、在托盘栏上或没有理由这样做的情况下调用 BitBlt 等函数的进程来检测截屏。
关于 API 挂钩,有大量可用信息,例如
Windows API 挂钩教程(以 DLL 注入为例)。