Espiando pelo DWM: Como as prévias de aplicativos no Windows revelam segredos
Descubra como o recurso de prévia de janelas do Windows, gerenciado pelo DWM, pode ser explorado como um canal de vazamento de dados, revelando informações de aplicativos bloqueados ou ocultos.
MundiX News·04 de julho de 2026·4 min de leitura·👁 1 views
A função de prévia de janelas no Windows, familiar a todos os usuários, pode armazenar o último estado visível de uma janela, mesmo quando o aplicativo está bloqueado ou seu conteúdo está oculto. Essa característica pode servir como um canal de vazamento de dados, e neste artigo exploraremos como explorá-la. Ao passar o mouse sobre a barra de tarefas, você visualiza uma pequena imagem da janela.
A prévia do aplicativo na barra de tarefas
O que nos chamou a atenção foi a natureza estática dessa prévia: essencialmente, é um screenshot do aplicativo que não é atualizado até que mudemos para o programa em questão. Como profissionais de segurança, frequentemente lidamos com aplicativos que possuem timeouts e proteções por senha, como OneNote, KeePass, navegadores, sessões remotas e outros similares. Vamos analisar como isso pode ser utilizado. Além disso, abordaremos outros cenários onde as capacidades de observação "gráfica" e outras podem ser aplicadas. Prepare seu "banana raf" com coco – será interessante.
O que é DWM
DWM (Desktop Window Manager, Gerenciador de Janelas da Área de Trabalho) é uma tecnologia que surgiu com o Windows Vista e é destinada à exibição elegante de miniaturas de aplicativos. Ela também está presente no Windows 11.
Você pode ver essas miniaturas ao pressionar as combinações de teclas Alt-Tab ou Win-Tab.
Pŕevias de aplicativos no Windows
O DWM trabalha com uma representação em tempo real da janela, mas essa representação pode se tornar desatualizada se o aplicativo não redesenhou seu conteúdo ou se bloqueou de uma maneira específica. Nesses casos, a prévia exibe o último estado da aplicação aberta. Se a janela não for aberta (o que levaria à atualização da miniatura), é possível acessar diretamente a imagem e vislumbrar o que estava acontecendo no aplicativo. Em algumas versões do Windows, ao passar o mouse sobre a miniatura, ela se expande completamente, mas sem interagir com o aplicativo. Em outras palavras, você está literalmente olhando para o passado.
Ficou muito interessante – como extrair isso? Inicialmente, buscamos screenshots na memória, mas depois desistimos e ousamos pesquisar no Google...
Aviso: Este artigo destina-se a fins informativos e é voltado para especialistas em segurança que realizam testes sob contrato. O autor e a redação não se responsabilizam por quaisquer danos causados pelo uso das informações aqui apresentadas. A distribuição de software malicioso, a interrupção de sistemas e a violação de correspondências são puníveis por lei.
Desenvolvendo um aplicativo customizado
Como estamos falando de Windows, a maneira mais fácil de acessar essas prévias é através do .NET. Desenvolveremos um aplicativo minimalista que utilizará as funções do DWM, se conectará às janelas e, literalmente, transmitirá as miniaturas... para fins científicos, é claro!
Criaremos uma interface simples com uma lista suspensa para selecionar janelas ativas, uma área para a prévia e um controle deslizante para ajustar a transparência. Também adicionaremos um botão para atualizar a lista de janelas ativas. Afinal, estamos criando um Proof of Concept (PoC) aqui, não um módulo hacker completo.
Esboço da melhor solução de todos os tempos
Agora, vamos escrever um pequeno código. Essencialmente, não precisamos de bibliotecas adicionais – tudo já está no sistema. Precisaremos de funções de apenas duas bibliotecas do sistema:
user32.dll
e
dwmapi.dll
A primeira é necessária para obter a lista de janelas abertas e seus títulos, enquanto a segunda é a interface para trabalhar com o DWM.
O restante do conteúdo está disponível apenas para membros.
Materiais das últimas edições
Os materiais das últimas edições tornam-se disponíveis individualmente apenas dois meses após a publicação. Para continuar a leitura, é necessário se tornar um membro da comunidade "Xakep.ru".
Junte-se à comunidade "Xakep.ru"!
A adesão à comunidade pelo período especificado lhe dará acesso a TODO o material da "Xakep", permitirá baixar as edições em PDF, desativará a publicidade no site e aumentará seu desconto cumulativo pessoal!
Saiba mais
Já sou membro da "Xakep.ru"
← Anterior
Participante de 19 anos do grupo Scattered Spider é extraditado para os EUA
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A função de prévia de janelas no Windows, familiar a todos os usuários, pode armazenar o último estado visível de uma janela, mesmo quando o aplicativo está bloqueado ou seu conteúdo está oculto. Essa característica pode servir como um canal de vazamento de dados, e neste artigo exploraremos como explorá-la. Ao passar o mouse sobre a barra de tarefas, você visualiza uma pequena imagem da janela.
A prévia do aplicativo na barra de tarefas
O que nos chamou a atenção foi a natureza estática dessa prévia: essencialmente, é um screenshot do aplicativo que não é atualizado até que mudemos para o programa em questão. Como profissionais de segurança, frequentemente lidamos com aplicativos que possuem timeouts e proteções por senha, como OneNote, KeePass, navegadores, sessões remotas e outros similares. Vamos analisar como isso pode ser utilizado. Além disso, abordaremos outros cenários onde as capacidades de observação "gráfica" e outras podem ser aplicadas. Prepare seu "banana raf" com coco – será interessante.
O que é DWM
DWM (Desktop Window Manager, Gerenciador de Janelas da Área de Trabalho) é uma tecnologia que surgiu com o Windows Vista e é destinada à exibição elegante de miniaturas de aplicativos. Ela também está presente no Windows 11.
Você pode ver essas miniaturas ao pressionar as combinações de teclas Alt-Tab ou Win-Tab.
Pŕevias de aplicativos no Windows
O DWM trabalha com uma representação em tempo real da janela, mas essa representação pode se tornar desatualizada se o aplicativo não redesenhou seu conteúdo ou se bloqueou de uma maneira específica. Nesses casos, a prévia exibe o último estado da aplicação aberta. Se a janela não for aberta (o que levaria à atualização da miniatura), é possível acessar diretamente a imagem e vislumbrar o que estava acontecendo no aplicativo. Em algumas versões do Windows, ao passar o mouse sobre a miniatura, ela se expande completamente, mas sem interagir com o aplicativo. Em outras palavras, você está literalmente olhando para o passado.
Ficou muito interessante – como extrair isso? Inicialmente, buscamos screenshots na memória, mas depois desistimos e ousamos pesquisar no Google...
Aviso: Este artigo destina-se a fins informativos e é voltado para especialistas em segurança que realizam testes sob contrato. O autor e a redação não se responsabilizam por quaisquer danos causados pelo uso das informações aqui apresentadas. A distribuição de software malicioso, a interrupção de sistemas e a violação de correspondências são puníveis por lei.
Desenvolvendo um aplicativo customizado
Como estamos falando de Windows, a maneira mais fácil de acessar essas prévias é através do .NET. Desenvolveremos um aplicativo minimalista que utilizará as funções do DWM, se conectará às janelas e, literalmente, transmitirá as miniaturas... para fins científicos, é claro!
Criaremos uma interface simples com uma lista suspensa para selecionar janelas ativas, uma área para a prévia e um controle deslizante para ajustar a transparência. Também adicionaremos um botão para atualizar a lista de janelas ativas. Afinal, estamos criando um Proof of Concept (PoC) aqui, não um módulo hacker completo.
Esboço da melhor solução de todos os tempos
Agora, vamos escrever um pequeno código. Essencialmente, não precisamos de bibliotecas adicionais – tudo já está no sistema. Precisaremos de funções de apenas duas bibliotecas do sistema:
user32.dll
e
dwmapi.dll
A primeira é necessária para obter a lista de janelas abertas e seus títulos, enquanto a segunda é a interface para trabalhar com o DWM.
O restante do conteúdo está disponível apenas para membros.
Materiais das últimas edições
Os materiais das últimas edições tornam-se disponíveis individualmente apenas dois meses após a publicação. Para continuar a leitura, é necessário se tornar um membro da comunidade "Xakep.ru".
Junte-se à comunidade "Xakep.ru"!
A adesão à comunidade pelo período especificado lhe dará acesso a TODO o material da "Xakep", permitirá baixar as edições em PDF, desativará a publicidade no site e aumentará seu desconto cumulativo pessoal!
Saiba mais
Já sou membro da "Xakep.ru"
← Anterior
Participante de 19 anos do grupo Scattered Spider é extraditado para os EUA
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.