这两天调戏XP上的CF，在CF主线程还没运行的时候就直接LoadLibrary("d3d9.dll")并 inline hook Direct3DCreate9，发现并没有人调用到我的Direct3DCreate9上，游戏一切照常运行。

用监控工具跟了一下发现CF除了调用kernel32!CopyFileA把CF\\D3D\\d3d9xpsp3.dll复制到CF\\D3D\\d3d9.dll上，并且fmodex.dll里面调用了一次CreateFileW c:\\windows\\system32\\d3d9.dll之外没有任何涉及d3d9的文件操作。

二进制修改把D3D\\d3d9xpsp3.dll里的Direct3DCreate9 头几个字节改成retn 4，让游戏跑起来依然正常运行。

内存搜索D3D ERROR: D3D header version mismatch （Direct3DCreate9 里面有引用该字符串）搜出来的数据也在奇怪的位置，不像是d3d9.dll的内存区域。

想问一下XP是怎么调用D3D的？为什么扫内存、看模块都看不到d3d9.dll的踪迹？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！