屏幕捕获: 合法进程劫持截屏

合法进程劫持截屏（Legitimate Process Hijacking for Capture）是一种通过劫持系统内置截屏功能实现隐蔽操作的攻击技术。攻击者通过DLL注入或COM劫持技术，接管操作系统原生截屏组件（如Windows Snipping Tool或macOS Grab的底层服务），利用合法进程的API调用链执行恶意截屏操作。该技术使截屏行为在进程树、API调用栈等维度均呈现为正常系统活动，规避基于进程行为分析的检测机制。

该技术的匿迹机制建立在系统信任链滥用与行为上下文伪造之上。攻击者首先逆向分析目标系统截屏组件的执行逻辑，定位关键函数调用节点（如BitBlt或CGDisplayCreateImage），通过线程注入或函数挂钩（API Hook）重定向图像处理流程至恶意模块。在行为伪装层面，严格遵循原生截屏组件的调用频率、窗口焦点规则和用户交互特征（如模拟鼠标点击事件触发截屏），使安全监控系统难以区分用户主动操作与恶意后台截屏。技术实施需突破系统完整性保护机制（如macOS SIP或Windows Protected Processes Light），并通过数字签名伪造或驱动级劫持获取必要权限，最终实现在不破坏系统正常功能的前提下，将恶意截屏操作深度隐匿于合法系统行为中。