<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(一)

最新推荐文章于 2024-01-07 14:01:23 发布
最新推荐文章于 2024-01-07 14:01:23 发布
阅读量5.5k 收藏 5
点赞数
分类专栏: Windows 学习笔记 内核驱动 文章标签: windows 编程 object 扩展 input hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aksnzhy/article/details/6874521
版权
 

Hook分发函数

前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘的过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。

一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。

1.获得类驱动对象

首先要获得键盘类驱动对象,才能去替换下面的分发函数。这个操作较为简单,因为这个驱动的名字是“\\Device\\Kbdclass”,所以可以直接用函数ObReferenceObjectByName来获取。

代码如下:

//驱动的名字
#define  KBD_DRIVER_NAME L"\\Driver\\Kdbclass"
//当我们求得驱动对象指针时,将其放到这里
PDRIVER_OBJECT KdbDriverObject;
UNICODE_STRING uniNtNameString;

//初始化驱动的名字字符串
RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);
//根据名字字符串来获得驱动对象
status = ObReferenceObjectByName(
					&uniNtNameString,
					OBJ_CASE_INSENSITIVE,
					NULL,
					0,
					IoDriverObjectType,
					KernelMode,
					&KdbDriverObject,
					);
if (!NT_SUCCESS(status))
{
	//如果失败
	DbgPrint("MyAttach:Couldn't get the kbd driver Object\n");
	return STATUS_SUCCESS;
}
else
{
	//凡是调用了Reference系列的函数都要通过调用ObDereferenceObject来解除引用
	ObDereferenceObject(KdbDriverObject);
}


这样就获得了驱动对象,然后只要替换其分发函数就行了。

 

2.修改类驱动的分发函数指针

虽然驱动对象不同,但是替换的方法还是一样的。值得注意的,必须保存原有的驱动对象的分发函数;否则,第一,替换之后将无法恢复;第二,完成我们自己的处理后无法继续调用原有的分发函数。

这里用到一个原子操作:InterlockedExchangePointer.这个操作的好处是,用户设置新的函数指针是原子的,不会被打断。插入其他可能要执行到调用这些分发函数的其他代码

//这个数组用来保存所有旧的指针
ULONG i;
PDRIVER_DISPATCH OldDispatchFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
.....
//把所有的分发函数指针替换成我们自己编写的同一个分发函数
for (i = 0 ; i <= IRP_MJ_MAXIMUM_FUNCTION ; ++i)
{
	//假设MyFilterDispatch是笔者已经写好的一个分发函数
	OldDispatchFunction[i] = KdbDriverObject->MajorFunction[i];
	//进行原子交换操作
	InterlockedExchangePointer(
		        &KbdDriverObject->MajorFunction[i],
				MyFilterDispatch
		);
}


3.类驱动之下的端口驱动

前面的过滤方式是替换分发函数指针。但是这是依然比较明显,因为分发函数的指针本来是已知的,如果安全监控软件有针对性地对这个指针进行检查和保护,就容易发现这个指针已经被替换掉的情况。

KbdClass被称为键盘类驱动,在Windows中,类驱动通常是指统管一类设备的驱动程序。不管是USB键盘,还是PS/2键盘均进过它,所以在这一层做拦截,能获得很好的通用性,类驱动之下和实际硬件交互的驱动被称为“端口驱动”。具体到键盘,i8042prt是PS/2键盘的端

最低0.47元/天 解锁文章
aksnzhy
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
<寒江独钓>Windows内核安全编程__键盘过滤内核Hook(二)
The New Old Things
10-17 3745
Windows内核安全编程__键盘过滤内核Hook(二) 如果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x
寒江独钓Windows内核安全编程
05-05
编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程序员和黑客都在写内核程序,唯一不同的是驱动程序员按照微软设计的模型写程序,而黑客可以不按照这些框架写。Windows设计的这些框架,可以将操作系统的原理隐藏起来,只暴露一些接口,驱动程序员只要把这些接口写好就可以了。从这个角度看,驱动开发并不难,尤其是读完本书后,更会觉得不难了。但是想完成一些特殊的功能,如内核隐藏进程等,Windows的这些框架就没什么用处了,程序员就需要对Windows内核有全面的了解,通过直接修改Windows内核来实现这些目的。往往黑客对这种技术乐此不疲,通过修改Windows内核,你会发现你的程序几乎无所不能。   编写内核程序是一件很痛苦的事情,回想起这些年学习内核程序开发的经历,真是感慨万千。就如同谭文所说:编写内核程序的人从某种程度讲是孤独的。当一个经验并不丰富的小程序员面对庞大复杂的并且不开源的Windows框架时,那是一种怎样的无助感啊!谭文是我比较钦佩的程序员之一,他对技术非常执着,并且精力充沛。内核程序的知识涉及面非常广,不同类别的内核程序差别也特别大,他几乎都有所涉猎。相信读者在读完这本书后,能对Windows内核开发有比较详细的了解,同时也能结合书中的实例写出很优秀的内核程序了 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000一直到目前最新的Windows 7 Beta版。  本书则基本上介绍的是正统的内核编程技术,是微软在内核编程中给信息安全软件开发者提供的相关接口的大集合,是名门正派的技术,不沾邪气。一个好的内核程序员,“正邪兼修”是有必要的。   本书既适合于有志于成为软件程序员的学生使用,也适合于希望加强自己的技术实力的Windows程序员阅读,同时更适合于从事信息安全行业的Windows软件的开发者作为手头参考。
Windows驱动学习(五)-- 键盘过滤
安全杂货铺
10-13 6551
教程参考自:https://www.bilibili.com/video/av26193169/?p=4 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT-KillProcess 1. 概述 跟调试应用层程序不同,驱动不稳定,可能会导致蓝屏,所以我们不能在本机调试。一般的操作是在一个虚拟机中加载驱动,然后通过串口对该虚拟机的驱...
Windows内核安全与驱动编程》-第八章-键盘过滤学习-day-4
WocW的博客
04-27 488
键盘过滤 Hook 分发函数 8.5.4 端口驱动和类驱动之间的协作机制 ​ 当键盘上一个键被按下时,产生一个 Make Code 引发键盘中断; 当键盘上一个键被松开时,产生一个 Break Code 引发键盘中断。键盘中断导致键盘中断服务例程被执行,最终导致 i8042prt 的 I8042KeyboardInterruptService 被执行。 ​ 在 I8042KeyboardInte...
键盘驱动系列---JIURL键盘驱动 5
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 1695
7 键盘驱动的运作 7.1 输入数据队列简介 i8042prt 和 kbdclass 各有一个输入数据队列,他们是循环使用的缓冲区。他们的每个单元是一个 KEYBOARD_INPUT_DATA 结构。 i8042prt 的自定义的设备扩展中,保存着一些指针和计数值,用来使用它的那个输入数据队列。 PKEYBOARD_INPUT_DATA 类型的 InputData , Da
HOOK分发函数实现截获键盘输入
yiyefangzhou24的专栏
03-03 3477
<br />关心我的同志们可能又要说了,哈哈,这个菜鸟又要发话了,嘿嘿,我菜鸟我荣幸。<br />最近的编程走向白热化,因为刚开学,所以时间比较多,所以经常泡图书馆。下决心这学期一定搞定内核编程,大话放出去了,实现与否还得看造化了。<br />刚刚迈入驱动程序设计的老高的门槛,发现原来困难重重,内核程序设计不同于一般的用户层的接口程序设计,有大量的帮助资料,网上的,MSDN,论坛里的,各种各样,连绵不绝。到了内核态,帮助资料也少了,论坛的回复也少了,错误也比以前更难调试了,所以一下子不知道咋办,手足无措,
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
寒江独钓--Windows内核安全编程》是一份深入探讨Windows操作系统内核安全编程的珍贵资源,由知名技术专家“寒江独钓”编著。这份资料包含了丰富的Windows内核驱动开发实例,覆盖了从磁盘驱动、文件系统驱动到网络...
寒江独钓-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows下驱动编程(内附源码)。内核编程环境配置;串口过滤键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;NDIS小端口...
寒江独钓-Windows内核安全编程(完整版)--源码
02-23
Windows内核安全编程》是深入探讨Windows操作系统内核安全机制的一份宝贵资源。源码的提供使得读者能够更直观地理解理论知识,并通过实践来加强理解。在Windows内核安全编程领域,开发者需要掌握一系列关键概念和...
寒江独钓-Windows内核安全编程》电子书及源码.rar
最新发布
03-29
寒江独钓-Windows内核安全编程》是一本深入探讨Windows操作系统内核安全的专著,涵盖了编程语言、软件安全以及系统插件等多个领域的知识。本书旨在帮助读者理解和掌握如何在Windows内核环境中进行安全编程实践,...
【转帖】让一切输入都难逃法眼(驱动键盘过滤钩子)(zz)
floweronwarmbed的专栏
11-03 1801
 驱动分层结构,这是windows的特性,IO管理器的两个重要的设计:1、Windows中的任何一个驱动程序都被设计成Client/Server模式。对于客户端驱动,通过IoGetDeviceObjectPointer之类的获取服务端驱动导出的Device对象,通过IO管理器的IoCallDriver请求服务端的服务。IoCallDriver实际上根据客户端的调用参数(通过IRP)调用服务端的
<寒江独钓>Windows内核安全编程__传统键盘过滤程序
The New Old Things
10-13 4618
技术原理 1.预备知识 何为符号链接?符号链接其实就是设备的一个“别名”。在应用程序中想要访问设备一般要通过符号链接来完成,而不是设备名本身。 ZwCreateFile是很重要的函数。同名的函数有两个:一个在内核中(ntknos.exe),一个在应用层(ntdll.dll)
Hook KeyboardClassServiceCallback实现键盘 Logger
mergerly的专栏
11-13 8961
 用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘,在端口驱动处理完IRP之后都会调用上层处理的回调函数,即KbdClass 处理输入数据的函数。Hook 这个回调函数,不但可以实现兼容PS/2 键盘和USB 键盘的Logger,而且比分层驱动的方法更加隐蔽。Kbdclass的这个回调函数是未导出的
<寒江独钓>Windows内核安全编程__Ramdisk源码解读
The New Old Things
10-20 4726
这篇文章来介绍一下WDK中提供的一个案例源码--Ramdisk虚拟磁盘。这个例子实现了一个非分页内存做的磁盘储存空间,并将其以一个独立磁盘的形式暴露给用户,用户可以将它格式化成一个Windows能够使用卷,并且像操作一般的磁盘卷一样对它进行操作。由于使用了内存作为虚拟的存储介质,使这个磁盘具有一个显著的特点,性能的提高。这个例子所使用的微软WDF驱动框架。 入口函数 1.入口函数的定义 任何
windows键盘过滤
仙人Immortal的博客
01-18 502
windows键盘过滤 #include <ntddk.h> #include <ntddkbd.h> extern POBJECT_TYPE *IoDriverObjectType; typedef struct _DEV_EXT { //结构大小 ULONG uNodeSize; //过滤设备 PDEVICE_OBJECT pFltDevObj; //自旋锁 KSPIN_LOCK lockRequests; //同步事件 KEVENT eventProgres
windwos键盘过滤Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
u012640985的专栏
04-24 1382
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
寒江独钓键盘过滤 学习笔记
weixin_30819085的博客
04-30 157
先来名词热身: 一、符号链接:其实就是一个别名。可以用一个不同的名字来代表一个设备对象 二、PDO:是物理设备对象,可以理解为是设备栈最下面的那个设备对象。 函数介绍: 内核中:ZwCreateFile是很重要的函数,不但可以打开文件,还可以打开设备对象。在应用程序中跟它对应的是CreateFile函数.. 接下来是记录Windows如何获得按键,然后传递给各个应用程序。 csrss这...
【小沐学C++】C++ 实现鼠标键盘钩子HOOK
爱看书的小沐
01-07 2718
挂钩是应用程序截获消息、鼠标操作和击键等事件的机制。截获特定类型的事件的函数称为 挂钩过程。挂钩过程可以对其接收的每个事件执行操作,然后修改或放弃该事件。挂钩是系统消息处理机制中的一个点,其中应用程序可以安装子例程来监视系统中的消息流量,并在某些类型的消息到达目标窗口过程之前对其进行处理。监视用于调试的消息支持录制和播放宏为帮助密钥 (F1) 提供支持模拟鼠标和键盘输入实现基于计算机的训练 (CBT) 应用程序╮( ̄▽ ̄)╭如果您感觉方法或代码不咋地//(ㄒoㄒ)//
Windows内核编程与信息安全寒江独钓
寒江独钓——Windows内核编程与信息安全》是楚狂人撰写的一本深入探讨Windows内核编程技术的专业书籍,主要面向已经具备C语言基础的读者。这本书详细介绍了多种信息安全相关的技术,包括实时扫描的防毒软件开发、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值