Win32k(3) R0 to R3,键盘鼠标输入

最新推荐文章于 2021-11-20 11:16:34 发布
最新推荐文章于 2021-11-20 11:16:34 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 内核研究 文章标签: user hook null keyboard windows input
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640213
版权
本文详细介绍了Windows系统中从内核模式(Ring0)通过KeUserModeCallback函数调用到用户模式(Ring3)的过程,涉及到键盘鼠标输入的处理。讲解了KiCallUserMode、KeUserCallbackDispatcher以及_PEB.KernelCallbackTable等关键组件的作用,并探讨了可能的hook策略。同时,分析了键盘输入处理流程,包括从键盘驱动到焦点窗口的消息传递路径。
摘要由CSDN通过智能技术生成

第三部分 R0 to R3

 

这部分有教主非常精彩和实用的分析,我就不瞎说了。

http://bbs.pediy.com/showthread.php?t=104918

 

r3 to r0 是常规系统调用倒过来

中断或者sysenter的东西:

http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf137db11a18d81fac.html

 

NTSTATUS

KeUserModeCallback (

INULONGApiNumber,

INPVOIDInputBuffer,

INULONGInputLength,

OUTPVOID *OutputBuffer,

INPULONGOutputLength

)

这个函数设置好栈的布局后调用KiCallUserMode

KiCallUserMode调用_KiServiceExit

返回到ring3的_KeUserCallbackDispatcher

KeUserCallbackDispatcher从_PEB.KernelCallbackTable取得函数,执行,NtCallbackReturn返回

 

最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
【安全漏洞】CVE-2021-1732 win32k漏洞分析
HBohan的博客
03-22 2855
漏洞描述 内核模块win32kfull.sys的win32kfull!xxxClientAllocWindowClassExtraBytes函数中存在Type Confusion漏洞,利用此漏洞进行越界读写,最终可实现本地提权 官方通报影响的windows版本: Windows 10 Version 1803/1809/1909/2004/20h2 Windows Server, version 1909/20H2(Server Core installation) Windows 10 Version f
Win32k(3) R0 to R3,键盘鼠标输入
weixin_30838873的博客
03-26 220
第三部分 R0 to R3这部分有教主非常精彩和实用的分析,我就不瞎说了。http://bbs.pediy.com/showthread.php?t=104918r3 tor0是常规系统调用倒过来中断或者sysenter的东西:http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf137db11a18d81fac.html...
枚举SSDT 系统服务表中的函数地址
qinqin772的博客
01-02 1934
网上关于SSDT的有很多的博客可以参考,我就不啰嗦了直接上码 #include //SSDT服务表中,各项对应的函数名称,@num 代表参数*4的大小 char* funcName[] = { "NtAcceptConnectPort@24 ", "NtAccessCheck@32 ",
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 8145
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2658
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
Nt系列函数
huanongying131的博客
11-19 2571
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfuc.html         83   4B 0007C008 NlsAnsiCodePage          84   4C 0007C010 NlsMbCodePageTag          85   4D 0007C018 NlsMbOemCodePageTag          86   ...
SW32K3_RTD_4.4_2.0.1_DS_updatesite_D2207.zip
05-06
该驱动代码包“SW32K3_RTD_4.4_2.0.1_DS_updatesite_D2207.zip”是为这些MCU提供的软件支持,帮助开发者快速构建和优化基于S32K3系列的应用程序。 该驱动代码包的核心组成部分包括以下几个方面: 1. **P2.index**...
海信智能电视刷机数据 LED32K600X3D(0000) 生产用软件数据 务必确认机编一致 强制刷机 整机USB升级程序
最新发布
05-20
3、电视关机,插入U盘(USB3或者靠近高频头的USB口),重新启动电视机,电视机自动检测到升级软件之后并进行升级 4、在升级过程中屏幕有相关提示,升级完成后能自动开机。(建议是升级完成之后拔下U盘设备以免下次开机...
SW32K3_S32M27x_RTD_R21-11_4.0.0_P19_D2403_SafetyPackage.zip
05-06
"SW32K3_S32M27x_RTD_R21-11_4.0.0_P19_D2403_SafetyPackage.zip"是一个针对S32K3系列的驱动代码包,旨在为开发者提供全面的软件支持,确保其产品在设计阶段就能实现高效、安全的运行。 这个驱动代码包包含了多个...
海信电视LED32K280J3D(0000)BOM1-C008生产用软件数据 通用 LED32K280X3D(0000)BOM1
05-20
3、电视关机,插入U盘(USB3或者靠近高频头的USB口),重新启动电视机,电视机自动检测到升级软件之后并进行升级 4、在升级过程中屏幕有相关提示,升级完成后能自动开机。(建议是升级完成之后拔下U盘设备以免下次开机...
Zw 系列函数
huanongying131的博客
11-19 3683
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
偷换windows窗口过程
lixiangminghate的专栏
05-11 2915
Window user32子动态库控件封装和消息分发浅析  这篇文章提到窗口程序在分发消息时会调用:UserCallWinProcCheckWow--->_InternalCallWinProc-->各个窗口程序的WndProc。各类控件的窗口程序不同,比如Button控件用的是Button_WndProc,_InternalCallWinProc { } 会通过。受到这篇文章的启示,
驱动中实现模拟键盘按键
04-26 9835
标 题: 驱动中实现模拟键盘按键作 者: luocong在ring3中实现模拟键盘按键有N^N种方式,比如SendInput()、keybd_event()……但在驱动中要怎么模拟呢?1、写端口大法#define defI8042_DATA_PORT ((PUCHAR)0x60)#define defI8042
开发键盘过滤驱动实现模拟按键过程中遇到的问题
rageliu的专栏
11-24 5579
如何动态御载键盘过滤驱动     最近写个键盘过滤驱动,遇到的问题是动态御载后再有按键操作就会蓝屏,看了些资料终于明白了原因,写出来供大家参考,免得后来的朋友再重复这个郁闷的过程。     要做到动态御载键盘过滤驱动,明白其工作运行的原理是很重要的。首先必须要知道键盘过滤驱动是工作在异步模式下的,这一点很重要。为了得到一个按键操作,首先需要发送一个IRP_MJ_READ到驱动的设备栈,驱动
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4334
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
java回调函数
zw147258369的博客
11-20 367
回调函数概念: 程序A在程序中预留一个接口,程序B可以通过实现该接口,写入自己的逻辑,程序A在执行过程中会调用其接口的实现B的逻辑。 通俗例子: 小明做作业,其中有道题目不会做,打电话告诉小红,让小红做好后主动发给自己。 其中有道不会做的题目可以理解为一个回调函数,小红通过实现该函数可以去完成这道题目,小明只需要获取该回调函数的结果即可获得该题的答案。 代码实现 public class A { IcallBack icallBack; public void setCallB
 Windows子系统(GUI)
maomao171314的专栏
12-15 5218
Windows子系统 1 Windows子系统结构 Windows子系统结构,如图: Windows子系统有用户模式和内核模式组件。列出这些组件的职责: a. 内核模块win32k.sys。是Windows内核的扩展。包含两大功能组成部分: 窗口管理器(window manager): 负责控制窗口显示、管理屏幕输出、手机来自键盘鼠标和其他设备的输入,以及将用户信息传递给应用程序。 GDI:图形输出设备的函数库。 b.图形设备驱动程序。 c.Windows环境子系统进程(csrss.e..
提升Windows操作技巧:内存优化、服务管理与Win32k.sys详解
最后,文档针对Win32k.sys文件提出了疑问,这是一个在Windows XP中至关重要的系统驱动文件,与多用户管理和系统核心功能紧密相关。该文件通常存在于Windows\System32\Dllcache中,如果误删除可能导致系统不稳定。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值