По трафику, т.к. захваченное добро нужно куда-то девать. А если не в сеть, то на диск, тогда будет заметна дисковая активность. Но если захватывать не непрерывно, а раз в минуту (например), то программе проще не спалиться.
Ну, сетевую и дисковую активность может не только захват генерить, но гипотеза интересная. Хотя лично я предпочёл бы поиск по БД известных программ захвата, благо их не так и много.
Я о другом - есть ли действительно метод перехватить именно незнакомую программу именно захвата экрана? Скажем, какую-нибудь цепочку DirectX отслеживать?
DWZ, есть еще базы зловредов, с такими же функциями. не уверен что они маленькие, и не факт что все антивири в полном объеме публикуют свои знания. а главное - есть zero-day.. практически как
> ты боишься захвата экрана 3D приложений или раб. стола?
Я-то нет. Просто мне попались видеокурсы аж 2016 г, где автор говорит, что его оболочка (судя по всему, Дельфийская) не будет работать при запущенных грабилках экрана. Вот я и задумался, как такое можно было бы реализовать и не бравада ли это вроде защиты курса английского языка на кассетах.
> (они у вас есть кстати? у меня нет, если вот так с ходу)
Мне и не надо, главное, чтобы у автора они были, если вообще он использует именно этот метод. Если бы оболочка работала - я бы попробовал малоизвестную или самопальную грабилку, просто из интереса, обнаружит он её или нет. И смотрит ли за флагом HDCP на DVI? Но автор уже не торгует курсами, а из видео слова не выкинешь.
DWZ, сам кодирую на делфи, не попадался подобный.
Можно промониторить: что за API захватывают проги из линка в ответе и просто задублировать перехват тех же функций у себя.