视频捕获: 合法应用API劫持捕获

合法应用API劫持捕获（Legitimate Application API Hijacking Capture）是一种通过寄生在系统可信进程内实施视频窃取的技术。攻击者利用动态链接库注入、进程空洞或COM劫持等方式，将恶意代码植入具有摄像头调用权限的合法应用程序（如视频会议软件、浏览器插件），通过劫持其视频采集API接口实现隐蔽操作。该技术利用白名单进程的合法数字签名和常规行为特征，规避基于进程可信度的检测机制。

该技术的匿迹性源于对系统信任链的深度利用。攻击者通过逆向分析目标应用的视频调用逻辑，构造符合其行为模式的API调用序列，确保摄像头启动、帧率设置、数据缓冲等操作与正常业务流程完全一致。技术实现需解决三个关键问题：内存注入的隐蔽性（采用反射式DLL加载或无文件注入）、API调用链的完整性（精确匹配参数结构和调用时序）、以及数据回传的分离性（将视频流与宿主进程网络通信混合传输）。通过将恶意行为嵌入可信进程的合法上下文中，防御方难以通过进程行为分析或API调用监控发现异常，且视频采集行为在系统审计日志中显示为合法应用操作，实现了攻击链与正常业务流的深度耦合隐匿。