windows键盘过滤

最新推荐文章于 2022-01-26 20:22:23 发布
最新推荐文章于 2022-01-26 20:22:23 发布
阅读量516 收藏 1
点赞数 1
分类专栏: windows驱动 文章标签: windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13235463799/article/details/122486765
版权

windows键盘过滤

介绍

主要是用来过滤键盘按键,或者修改按键用的

原理

本质是通过创建过滤设备来绑定\Driver\Kbdclass中的所有设备来实现过滤

绑定

先通过ObReferenceObjectByName来获取目标设备的驱动对象

//获取驱动对象
status = ObReferenceObjectByName(
	&ObjName,
	OBJ_CASE_INSENSITIVE,
	NULL,
	0,
	*IoDriverObjectType,
	KernelMode,
	NULL,
	(PVOID*)&pKbdclassDriver);
if (status != STATUS_SUCCESS)
{
	KdPrint(("ObReferenceObjectByName failed: %x", status));
	return status;
}

//解引用
ObDereferenceObject(pKbdclassDriver);

然后再遍历该驱动对象下所有设备,全部进行绑定,再设置设备扩展

//遍历设备
pTargetDevObj = pKbdclassDriver->DeviceObject;
while (pTargetDevObj)
{
	//创建过滤设备
	status = IoCreateDevice(
		pDriver,
		sizeof(DEV_EXT),
		NULL,
		pTargetDevObj->DeviceType,
		pTargetDevObj->Characteristics,
		FALSE,
		&pFltDevObj
	);
	if (status != STATUS_SUCCESS)
	{
		KdPrint(("ObReferenceObjectByName failed"));
		return status;
	}

	//绑定设备
	status = IoAttachDeviceToDeviceStackSafe(pFltDevObj, pTargetDevObj, &pLowerDevObj);
	if (status != STATUS_SUCCESS)
	{
		KdPrint(("IoAttachDeviceToDeviceStackSafe failed"));
		IoDeleteDevice(pFltDevObj);
		return status;
	}

	//获取设备扩展
	pDevExt = (PDEV_EXT)(pFltDevObj->DeviceExtension);
	//初始化设备扩展
	InitDevExt(pDevExt, pFltDevObj, pTargetDevObj, pLowerDevObj);
	pFltDevObj->DeviceType = pLowerDevObj->DeviceType;
	pFltDevObj->Characteristics = pLowerDevObj->Characteristics;
	pFltDevObj->StackSize = pLowerDevObj->StackSize + 1;
	pFltDevObj->Flags |= pLowerDevObj->Flags & (DO_BUFFERED_IO | DO_DIRECT_IO | DO_POWER_PAGABLE);

	//继续下一个设备
	pTargetDevObj = pTargetDevObj->NextDevice;
}

分发

这之后你还需要写几个分发函数,大概是以下几种

常规分发

直接下发即可,不用管

//常规分发
NTSTATUS DispatchGeneral(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	PDEV_EXT pDevExt = (PDEV_EXT)pDevObj->DeviceExtension;
	PDEVICE_OBJECT pLowerDevObj = pDevExt->pLowerDevObj;

	KdPrint(("DispatchGeneral"));

	IoSkipCurrentIrpStackLocation(pIrp);
	
	return IoCallDriver(pLowerDevObj, pIrp);
}

电源分发

单独处理就行,也是直接下发

NTSTATUS DispatchPower(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	PDEV_EXT pDevExt = (PDEV_EXT)pDevObj->DeviceExtension;

	KdPrint(("DispatchPower"));

	PoStartNextPowerIrp(pIrp);
	IoSkipCurrentIrpStackLocation(pIrp);

	return PoCallDriver(pDevExt->pTargetDevObj, pIrp);
}

即插即用分发

这里主要是处理有设备移除的时候,解绑并且删除过滤设备

NTSTATUS DispatchPNP(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	PIO_STACK_LOCATION stack;
	PDEV_EXT pDevExt = NULL;
	NTSTATUS status = STATUS_SUCCESS;

	pDevExt = (PDEV_EXT)pDevObj->DeviceExtension;
	stack = IoGetCurrentIrpStackLocation(pIrp);

	switch (stack->MajorFunction)
	{
	//移除
	case IRP_MN_REMOVE_DEVICE:
		//先发送请求下去
		IoSkipCurrentIrpStackLocation(pIrp);
		IoCallDriver(pDevExt->pLowerDevObj, pIrp);
		//解除绑定
		IoDetachDevice(pDevExt->pLowerDevObj);
		//删除过滤设备
		IoDeleteDevice(pDevObj);
		break;

	default:
		//直接下发
		IoSkipCurrentIrpStackLocation(pIrp);
		IoCallDriver(pDevExt->pLowerDevObj, pIrp);
		break;
	}

	return status;
}

读分发

这里不是直接下发,而是设置个回调,当下层完成请求时,调用该回调,咱再进行处理

NTSTATUS DispatchRead(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	PDEV_EXT pDevExt = NULL;
	PIO_STACK_LOCATION stack;
	NTSTATUS status = STATUS_SUCCESS;

	if (pIrp->CurrentLocation == 1)
	{
		KdPrint(("pIrp->CurrentLocation == 1"));
		status = STATUS_INVALID_DEVICE_REQUEST;

		pIrp->IoStatus.Status = status;
		pIrp->IoStatus.Information = 0;
		IoCompleteRequest(pIrp, IO_NO_INCREMENT);
		return status;
	}

	g_nCount++;

	pDevExt = (PDEV_EXT)pDevObj->DeviceExtension;
	stack = IoGetCurrentIrpStackLocation(pIrp);

	//复制IRP
	IoCopyCurrentIrpStackLocationToNext(pIrp);
	//设置完成回调
	IoSetCompletionRoutine(pIrp, ReadComplete, pDevObj, TRUE, TRUE, TRUE);
	//下发
	return IoCallDriver(pDevExt->pLowerDevObj, pIrp);
}

读完成回调

这里就是处理

NTSTATUS
ReadComplete(
	__in PDEVICE_OBJECT DeviceObject,
	__in PIRP pIrp,
	__in_xcount_opt("varies") PVOID Context
)
{
	ULONG i;
	
	PKEYBOARD_INPUT_DATA pKey;
	ULONG uKeySize;

	PIO_STACK_LOCATION stack;
	
	stack = IoGetCurrentIrpStackLocation(pIrp);

	//判断是否成功
	if (pIrp->IoStatus.Status != STATUS_SUCCESS)
	{
		if (pIrp->PendingReturned)
		{
			IoMarkIrpPending(pIrp);
		}
		return pIrp->IoStatus.Status;
	}

	//获取缓冲区和大小
	pKey = (PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;

	//获取键个数
	uKeySize = pIrp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);

	//打印
	for (i = 0; i < uKeySize; i++)
	{
		KdPrint(("ScanCode: %x", pKey->MakeCode));
		KdPrint(("%s", pKey->Flags ? "up" : "down"));
		
		//s修改为d
		if (pKey->MakeCode == 0x1F)
		{
			pKey->MakeCode = 0x20;
		}
	}

	g_nCount--;

	if (pIrp->PendingReturned)
	{
		IoMarkIrpPending(pIrp);
	}
	return pIrp->IoStatus.Status;
}

动态卸载

卸载直接放在源码里了,可以自行下载

完整代码

下载地址: 完整代码

仙人Immortal
关注
专栏目录
<读书笔记>Windows内核安全 —— 第四章 键盘过滤
一泓清水
03-25 962
本章讲了几种过滤键盘的方法,说实话越往后越深,写的很全,后面我没看懂,下面是我看懂的部分记录了下来。        文章开头讲了几个知识点:        1) 符号链接,用一个不同的明智代表一个设备对象,上层可以通过该名称访问相应的设备对象。        2) ZwCreateFile,在内核中用于打开文件(设备对象)的函数,是应用层的Createfile在内核层的实现
Windows驱动开发-键盘驱动过滤
weixin_42071117的博客
03-27 1244
#include <ntddk.h> extern POBJECT_TYPE IoDriverObjectType; #define KDB_DRIVER_NAME L"\\Driver\\Kdbclass" #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECON
keyfilter键盘过滤
07-24
读取键盘按键的简单驱动,另有应用程序显示出按键信息.自己写的,可以运行。
Windows驱动学习(五)-- 键盘过滤
安全杂货铺
10-13 6693
教程参考自:https://www.bilibili.com/video/av26193169/?p=4 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT-KillProcess 1. 概述 跟调试应用层程序不同,驱动不稳定,可能会导致蓝屏,所以我们不能在本机调试。一般的操作是在一个虚拟机中加载驱动,然后通过串口对该虚拟机的驱...
键盘过滤驱动程序
weixin_33812433的博客
06-20 221
      在我,因为现在是半个月后的时间与驱动器接触,我深深体会到开头难,和学习毅力的重要性。同时推动新。当看着帆驱动的开始《Windows驱动开发技术具体解释》讲的挺细。对新手来说是个不错的学习资料,可是更重要的还是自己要多动手练习。笔者在学习到同步操作的相关知识的时候。实在是看天书。最后还是放弃了学习本书。再找了本楚狂人的资料学习。感觉本书对新手来说还是比較吃力的,当中笔者就是这样,...
键盘过滤
逆向学习
04-16 772
文章目录键盘过滤键盘过滤的框架HOOK分发函数HOOK端口驱动的回调函数HOOK键盘中断的反过滤 键盘过滤 PDO:Physical Device Object,字面意义是物理设备,暂时可以这么理解:PDO为设备栈中最下面的那个设备对象。 键盘工作原理:P121页;简述:当键盘有按键按下/松开时,将会触发中断处理函数,中断服务例程由键盘驱动提供,键盘驱动会从端口读取扫描码,经过处理后,将获取到的...
windows键盘过滤示例完整代码
01-14
windows键盘过滤示例完整代码
驱动开发键盘过滤驱动--传统型键盘过滤
Lydia的博客
07-30 5561
近来在看 《寒江独钓 windows内核编程》,看到键盘过滤部分,记下笔记,仅供参考,有理解不对之处,还望大家指正。 现在来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们可以在读派遣函数中设置完成例程,当IRP完成后在完成历程中得到按键信息。 KbdClass被称为键盘驱动,在windows中,类
win8键盘过滤驱动:ctrl+space映射为win+space
08-25
win8切换输入法是win+空格,这对于从win7过来的选手来说很不...我为此做了一个键盘过滤驱动,可以将ctrl+空格转换成win+空格 这样就可以通过ctrl+空格来切换输入法了 但是有些游戏可能有不兼容的现象(ctrl不自动UP)
键盘过滤驱动的一段代码
12-28
kbdclass是管理键盘输入输出的驱动,无论是usb键盘还是ps/2还是什么没见过的接口,最后数据都要流入这个驱动,所以实现键盘过滤最简单的方法是挂载kbdclass,对其IRP_MJ_READ操作进行过滤
windows下批量删除筛选文件
11-12
windows server系统下可通过文件名称、类型过滤进行批量文件删除操作,简单便捷迅速
键盘过滤程序 C语言
qq_51929595的博客
01-26 779
简单的键盘过滤程序实现 #include <NTDDK.h> #define KDB_DRIVER_NAME L"\\Driver\\Kbdclass" #define DELAY_ONE_MILLISECOND -10 ULONG gC2pKeyCount; NTSTATUS ObReferenceObjectByName( PUNICODE_STRING ObjectName, ULONG Attributes, PACCESS_STATE PassedAccessState, .
windwos键盘过滤(Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
u012640985的专栏
04-24 1396
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
<寒江独钓>Windows内核安全编程__传统键盘过滤程序
The New Old Things
10-13 4629
技术原理 1.预备知识 何为符号链接?符号链接其实就是设备的一个“别名”。在应用程序中想要访问设备一般要通过符号链接来完成,而不是设备名本身。 ZwCreateFile是很重要的函数。同名的函数有两个:一个在内核中(ntknos.exe),一个在应用层(ntdll.dll)
键盘过滤
qq_41071646的博客
01-17 587
这几天心态崩了 就没怎么继续撸  看pwn看的心态有点崩  然后 看驱动看不下了  所以 划了一天的水。。 然后这次写的是  键盘过滤 这次  看的是   资料是   windows黑客技术编程   其实这个 我感觉 还是比较好理解的 首先是  一个 扩展设备    typedef struct _DEVICE_EXTENSION { PDEVICE_OBJECT pAttachDe...
键盘过滤驱动快捷实现
Tech is Online(物联网技术传播)
08-24 1823
     最近在网上无意中看到一段代码,主要讲述的是Windows键盘过滤驱动的实现方式,这段代码很有意识,是一种比较好的一种方法,主要将获取的键盘驱动对象的所有分发函数替换,然后另行处理,具体的代码如下;         //获取键盘驱动对象     status = ObReferenceObjectByName(&uniNtNameString,            OBJ_CASE_INSENSITIVE,            NULL,            0,
键盘过滤驱动源代码
坦然
08-22 2233
#include "ntddk.h" #include "ntddkbd.h" #include "stdio.h" #define KEY_UP 1 #define KEY_DOWN 0 #define LCONTROL ((USHORT)0x1D) #define CAPS_LOCK ((USHORT)0x3A
Windows内核安全与驱动编程》-第八章-键盘过滤学习-day2
WocW的博客
04-25 686
文章目录键盘过滤8.3 键盘过滤的请求处理8.3.1 通常的处理8.3.2 PNP的处理8.3.3 读的处理8.3.4 读完成的处理8.4 从请求中打印出按键信息8.4.2 从 KEYBOARD_INPUT_DATA 中得到的键8.4.3 从MakeCode 到实际字符明日计划 键盘过滤 8.3 键盘过滤的请求处理 8.3.1 通常的处理 ​ 最通常的处理就是直接发送到真实设备,跳过虚拟设备的...
Windows系统中的C++键盘钩子编程详解
C++键盘钩子是Windows编程中一种强大的工具,它能够扩展系统的功能,实现诸如键盘记录、游戏作弊检测、输入过滤等复杂任务。然而,由于其能够影响系统行为,使用时需谨慎,避免滥用导致安全问题或系统不稳定。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值