寒江独钓 第二章(3)Hook分发函数和回调函数

最新推荐文章于 2023-04-12 14:47:30 发布
最新推荐文章于 2023-04-12 14:47:30 发布
阅读量1.6k 收藏
点赞数
分类专栏: 驱动开发 文章标签: 驱动 键盘过滤
    前面两节讲的是通过在设备栈上绑定一个新的设备实现键盘过滤.这是非常正统的方法,是合法软件行为.一般黑客软件不会采用这么正道的方法.
    黑客可以通过修改一个已经存在的驱动对象(比如前面提到的KbdClass)分发函数的指针来实现过滤所有请求的目的.
4.5.1获得类驱动对象
    首先要获得键盘类驱动对象,才能替换下面的分发函数.这个驱动的名字是"\\Driver\\Kbdclass",可以直接用函数ObReferenceObjectByName来获得. 
   
   
  1. //驱动名字
  2. #define KBD_DRIVER_NAME L"\\Driver\\Kbdclass"
  3. //存放驱动对象的指针
  4. PDRIVER_OBJECT KbdDriverObject;
  5. UNICODE_STRING uniNtNameString;
  6. //初始化驱动的名字字符串
  7. RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);
  8. //根据名字字符串来获得驱动对象
  9. status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,
  10.             NULL,0,IoDriverObjectType,KernelMode,NULL,&KbdDriverObject);
  11. if(!NT_SUCCESS(status))
  12. {
  13.   //如果失败了
  14.   DbgPrint("不能获取驱动对象指针\n");
  15.   return STATUS_UNSUCCESSFUL;
  16. }
  17. else
  18. {
  19.   //凡是调用了Reference系列的函数都要通过调用ObDereferenceObject来解除引用
  20.   ObDereferenceObject(KbdDriverObject)
  21. }
4.5.2修改类驱动的分发函数指针
    这里用到一个原子操作:InterlockedExchangePointer,设置新的函数指针的操作是原子的,不会被打断. 
   
   
  1. //这个数组用来保存所有旧的指针
  2. ULONG i
  3. PDRIVER_DISPATCH OldDispatchFunctions[IRP_MJ_MAXIMUM_FUNCTION + 1];
  4. ...
  5. //把所有的分发函数指针都替换成我们自己编写的同一个分发函数
  6. for(i=0;i<=IRP_MJ_MAXIMUM_FUNCTION;++i)
  7. {
  8.   //假设MyFilterDipatch是笔者已经写好的一个分发函数
  9.   OldDispatchFunction[i] = KbdDriverObject->MajorFunction[i];
  10.   //进行原子交换操作
  11.   InterlockedExchangePointer(&KbdDriverObject->MajorFunction[i],MyFilterDispatch);
  12. }
4.5.3类驱动之下的端口驱动
    前面的过滤方法是填的分发函数指针.介是这依然比较明显,因为分发函数指针本来是已知的,如果安全监控软件有针对性对这个指针进行检查和保护,就容易发现这个指针已经被替换掉的情况.但是从分发函数出发,下面的各个调用层出不穷,任何一个地方都可能被替换,安全程序又怎么可能一一去保护呢?
    下面是比邪道的方法:
    直接寻找一个用于端口驱动中读取输入缓冲区的函数(但是这个函数实际上 类驱动提供的).Hook这个函数实现过滤.

    KbdClass被称为键盘类驱动,在windows中类驱动通常是指统管一类设备的驱动程序.不管是USB键盘,还是PS/2键盘都经过它,所以在这层做拦截,能获得很好以通用性.类驱动之下和实际硬件交互的驱动被称为"端口驱动".具体到键盘,i8042prt是PS/2键盘的端口驱动,USB键盘则是Kbdhid.
    键盘驱动的主要工作就是,当键盘上有键按下引发中断时,键盘驱动从端口读出按键的扫描码,最终顺利的将它交给键盘设备栈栈顶等待的那个主功能号为IRP_MJ_READ的IRP.为了完成这个任务,键盘驱动使用了两个循环使用的缓冲区.
    i8042prt和KbdClass各有一个自己的可以循环使用的缓冲区.缓冲区的每个单元是一个KEYBOARD_INPUT_DATA结构,用来存放一个扫描码及其相关信息.
在键盘驱动中,这个循环使用的缓冲区统一叫输入数据队列(input data queue),i8042prt的那个缓冲区叫做端口键盘输入数据队列,KbdClass的那个缓冲区叫类输入数据队列.
    实际上i8042prt的自定义设备扩展中,保存着一些指针和计数值,用来使用他的输入数据队列.包括:
  1. PKEYBOARD_INPUT_DATA类型的InputData,DataIn,DataOut,DataEnd.
  2. ULONG类型的InputCout.
  • InputData指针,指向输入数据队列的开头.
  • DataEnd指针,指向输入数据队列的结尾.
  • DataIn指针,指向要进入队列的新数据,被放在队列中的位置.
  • DataOut指针,指向要出队列的数据,在队列中开始的位置.
  • InputCount值,为输入数据队列中数据的个数.
    同时,在KbdClass的自定义设备扩展中,也保存着一些指针和计数值,用来使用它的输入数据队列.名字和类型与上面的数据完全一样.

4.5.4端口驱动和类驱动之间的协作机制
    当键盘上一个键被按下时,产生一个Make Code,引发键盘中断,当键盘上一个键被松开时,产生一个Break Code,引发键盘中断.键盘中断导致键盘中断服务例程被执行,导致最终i8042prt的I8042KeyboardInterruptService被执行.
    在i804KeyboardInterruptService中,从端口读出按键的扫描码,存放在一个KEYBOARD_INPUT_DATA中.将这个KEYBOARD_INPUT_DATA放入i804prt的输入数据队列中,一个中断放入一个数据,DataIn后移一格,InputCount加1.最后调用内核API函数KeInsertQueueDpc,一个进行更多处理的延迟过程调用.
    这个调用中,会调用上层处理输入的回调函数(也就是KbdClass处理输入数据的函数),取走i8042prt输入数据队列里的数据.之后i8042prt的输入数据列的DataOut相就后移,InputCount相应减少.KbdClass处理输入数据的函数后,满足那个应用层发来的等着读请求.
    当读请求要求读的数据大小大于等于i8042prt的输入数据队列中的数据时,读请求的处理函数直接从i804prt的输入数据队列中读出所有输入数据,不使用KbdClass的输入数据队列.
    当读请求要求读的数据的大小小于i8042prt的输入数据队列中的数据时,读请求的处理函数直接从i8042prt的输入数据队列中读出它所要求的大小,然后这个读请求被完成.i8042prt的输入数据队列中剩余的数据,被放入KbdClass的输入数据队列中.当应用层发来下一个读请求时,那个读请求将直接从KbdClass的输入数据队列中读取数据,不需要等待.

4.5.5找到关键的回调函数的条件
    从上面的原来来看,I8042KeyboardInterruptService中调用的类驱动的那个回调函数非常关键.如果找到了这个函数,通过Hook就可以轻易的获得键盘的输入了.
    现在问题就是如何定位这个函数指针了.i8042prt驱动的设备扩展我们并不完全清楚;此外,WDK也不可能公开这样一个函数的地址.
     但是"有识之士"根据经验指出:
  1. 这个函数指针应该保存在i8042prt生成的设备自定义设备扩展中.
  2. 这个函数的开始地址应该在内核模块KbClass中.
  3. 内核模块KbClass生成的一个设备对象的指针也保存在那个设备扩展中,而且在我们要找的函数指针之前.
    通过下面的代码就可以判断一个地址是否是在KbdClass这个驱动中了 
   
   
  1. PVOID address;
  2. size_t kdbDriverStart = KdbDriverObject->DriverStart;
  3. size_t kdbDriverSize = KdbDriverObject->DriverSize;
  4. ...
  5. if((address>KbdDriverStart)&&(address<(PBYTE)KbdDriverStart+KbdDriverSize))
  6. {
  7.   //说明在这个驱动中
  8. }
4.5.6定义常数和数据结构
    下面的方法实现了搜索这个关键的回调函数的指针.涉及到如下3个驱动,这里都定义成字符串. 
   
   
  1. //键盘类驱动的名字
  2. #define KBD_DRIVER_NAME L"\\Driver\\Kbdclass"
  3. #define USBKBD_DRIVER_NAME L"\\Driver\\Kbdhid"
  4. //PS/键盘驱动名
  5. #define PS2KBD_DRIVER_NAME L"\\Driver\\i8042prt"
    然后对于我们要搜索的回调函数的类型定义如下: 
   
   
  1. typedef VOID(_stdcall *KEYBOARDCLASSSERVICECALLBACK)(
  2.   IN PDEVICE_OBJECT DeviceObject,
  3.   IN PKEYBOARD_INPUT_DATA InputDataStart,
  4.   IN PKEYBOARD_INPUT_DATA InputDataEnd,
  5.   IN OUT PULONG InputDataConsumed);
    接下来,定义一个全局变量,来接收搜索到的回调函数.实际上我们不但搜索一个回调函数,还搜索类驱动生成的一个设备对象.这个设备对象的指针保存在端口驱动的设备对象的扩展中,而且必须先找到它,后面才能搜索回调函数.这个设备对象保存在全局变量gKbdClassBack.classDeviceObject中,而gKbdClassBack.serviceCallBack则将保存要搜索的回调函数.下面是全局变量gKbdCallBack的定义 
   
   
  1. typedef struct _KBD_CALLBACK
  2. {
  3.   PDEVICE_OBJECT classDeviceObject;
  4.   KEYBOARDCLASSSERVICECALLBACK serviceCallBack;
  5. }KBD_CALLBACK,*PKBD_CALLBACK;
  6. KBD_CALLBACK gKbdCallBack={0};
4.5.7打开两种键盘端口驱动寻找设备
    原理是这样的:预先不可能知道机器上装的是USB键盘还是PS/2键盘,所以一开始是尝试打开这两个驱动.在很多情况下只有一个可以打开,比较极端的是两个都可以打开(用户同时装有两个种类的键盘),这并不是不可能的,或者是两个都打不开(用户安装一种我们没见过的各类的键盘).对于这两个极端的情况,都简单地返回失败即可. 
   
   
  1. NTSTATUS SearchServiceCallBack(IN PDRIVER_OBJECT DriverObject)
  2. {
  3.   //定义用到的一组局部变量.这些变量大多是顾名思义的
  4.   NTSTATUS status = STATUS_UNSUCCESSFUL;
  5.   int i = 0;
  6.   UNICODE_STRING uniNtNameString;
  7.   PDEVICE_OBJECT pTargetDeviceObject =NULL;
  8.   PDRIVER_OBJECT KbdDriverObject = NULL;
  9.   PDRIVER_OBJECT KbdhidDriverObject = NULL;
  10.   PDRIVER_OBJECT Kbd8042DriverObject = NULL;
  11.   PDRIVER_OBJECT UsingDriverObject = NULL;
  12.   PDEVICE_OBJECT UsingDeviceObject = NULL;
  13.   PVOID KbdDriverStart = NULL;
  14.   ULONG KbdDriverSize = 0;
  15.   PVOID UsingDeviceExt = NULL;
  16.   //这里的代码用来打开USB端口驱动的驱动对象
  17.   RtlInitUnicodeString(&uniNtNameString,USBKBD_DRIVER_NAME);
  18.   status =    ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,
  19.         KernelMode,NULL,(PVOID*)&KbdhidDriverObject);
  20.   if(!NT_SUCCESS(status))
  21.   {
  22.     DbgPrint("获取USB驱动指针失败\n");
  23.   }
  24.   else
  25.   {
  26.     ObDereferenceObject(KbdhidDriverObject);
  27.   }
  28.   //打开PS/2键盘的驱动对象
  29.   RtlInitUnicodeString(&uniNtNameString,PS2KBD_DRIVER_NAME);
  30.   status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,(PVOID*)&Kbd8042DriverObject);
  31.   if(!NT_SUCCESS(status))
  32.   {    
  33.    DbgPrint("获取PS/2驱动指针失败\n");
  34.   }
  35.   else
  36.   {
  37.     ObDereferenceObject(Kbd8042DriverObject);
  38.   }
  39.   //这段代码只考虑一个键盘起作用的情况.
  40.   if(Kbd8042DriverObject && KbdhidDriverObject)
  41.   {
  42.     DbgPrint("一个以上键盘设备");
  43.     return STATUS_UNSUCCESSFUL;
  44.   }
  45.   //系统用了其它种类的键盘,则返回失败
  46.   if(!Kbd8042DriverObject&&!KbdhidDriverObject)
  47.   {
  48.     DbgPrint("没发现键盘设备");
  49.     return STATUS_UNSUCCESSFUL;
  50.   }
  51.   //找到合适的驱动对象.不管是USB还是PS/2,反正是一定要找到一个的
  52.   UsingDriverObject = Kbd8042DriverObject?Kbd8042DriverObject:KbdhidDriverObject;
  53.   //找到这个驱动对象下的第一个设备对象
  54.   UsingDeviceObject = UsingDriverObject->DeviceObject;
  55.   //找到这个设备对象的设备扩展
  56.   UsingDeviceExt = UsingDeviceObject->DeviceExtension;
  57.   ...
  58. }
4.5.8搜索在KbdClass类驱动的地址
    接着写前面那个函数中没有完成的代码.目的就是为了寻找UsingDeviceExt中保存的一个在驱动KbdClass中的地址. 
  
  
  1. //首先必须打开驱动KdbClass,以便从驱动对象中得到其开始地址和大小
  2. RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);
  3. status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,(PVOID*)&KbdDriverObject);
  4. if(!NT_SUCCESS(status))
  5. {
  6.   DbgPrint("获取键盘类指针失败");
  7.   return STATUS_UNSUCCESSFUL;
  8. }
  9. else
  10. {
  11.   ObDereferenceObject(KbdDriverObject);
  12.   //如果成功了,就找到了KbdClass的开始地址和大小
  13.   KbdDriverStart = KbdDriverObject->DriverStart;
  14.   KbdDriverSize = KbdDriverObject->DriverSize;
  15. }
    下面就是搜索过程.首先遍历KdbClass下面的所有设备,找到驱动对象下的第一个设备对象,然后找设备对象下的Next指针连续遍历即可.在这些设备中,有一个会保存在端口驱动的设备扩展中(也就是DeviceExt指针开始的地址),这就是我们要寻找的,当然,更重要的是要寻找到那个回调函数.
    所以我们定义了一个临时的指针DeviceExt,从前面得到的UsingDeviceExt的地址开始遍历,每次增加一个指针的宽度. 
  
  
  1. //遍历kbdDriverObject下的设备对象
  2. pTargetDeviceObject = KbdDriverObject->DeviceObject;
  3. 
    
    
    
     
     PVOID AddrServiceCallBack;
    
    
    
    
    
    
     
     

    
    
    
    
    
    
     
     //发现原代码有一个Bug,没有考虑UsingDriverObject->Next,
     
     正常应该是再嵌套一个循环
    
    
    
    
    
    
     
     
    
      
      //while(UsingDeviceObject)
     
     
    
     
     
    
      
      //{
     
     
    
     
     
    
      
      //  UsingDeviceExt = UsingDeviceObject->DeviceExtension;
     
     
    
     
     
    
      
      // while(pTargetDeviceObject)
     
     
    
     
     
    
      
      // {
     
     
    
     
     
    
      
      // ...
     
     
    
     
     
    
      
      // }
     
     
    
     
     
    
      
      // UsingDriverObject->Next;
     
     
    
     
     
    
      
      //}
     
     
    

    
    
  4. while(pTargetDeviceObject)
  5. {
  6.   PUCHAR DeviceExt = (PUCHAR)UsingDeviceExt;
  7.   for(;i<4096;i++,DeviceExt +=sizeof(PUCHAR))
  8.   {
  9.     PVOID tmp;
  10.     if(!MmIsAddressValid(DeviceExt))
  11.       break;
  12.     //找到后会填写到这个全局变量中.这里检查是否已经填好了
  13.     //如果已经填好就不用继续找,可以直接跳出了
  14.     if(gKbdCallBack.classDeviceObject && gKbdCallBack.serviceCallBack)
  15.     {
  16.        status = STATUS_SUCCESS;
  17.        break;
  18.     }
  19.     //在端口驱动的设备扩展中,找到了类驱动的设备对象,填好类驱动设备对象后继续
  20.     tmp = *(PVOID*)DeviceExt;
  21.     if(tmp == pTargetDeviceObject)
  22.     {
  23.       gKbdCallBack.classDeviceObject = (PDEVICE_OBJECT)tmp;
  24.       continue;
  25.     }
  26.     //如果在设备扩展上找到一个地址位于KbdClass这个驱动中,就可以认为,这就是我们要找的回调函数地址
  27.     if((tmp>KbdDriverStart)&&(tmp<(PBYTE)KbdDriverStart+KbdDriverSize)&&MmIsAddressValid(tmp))
  28.     {
  29.       //将这个回调函数记录下来
  30.       gKbdCallBack.serviceCallBack=(KEYBOARDCLASSSERVICECALLBACK)tmp;
  31.       AddrServiceCallBack =(PVOID*)DeviceExt;
  32.     }
  33.   }
  34.   //换成下一个设备,继续遍历
  35.   pTargetDeviceObject =pTargetDeviceObject->NextDevice;
  36. }
  37. //如果成功的找好了,就把这个函数替换成我们自己的回调函数
  38. //之后的过滤就可以自己想做什么就做什么了
  39. if(AddrServiceCallBack && gKbdCallBack.serviceCallBack)
  40. {
  41.   *AddrServiceCallBack = MyKeyboardClassServiceCallback;
  42. }
  43. return status;
我对这一节的想法:就算成功Hook掉这个回调函数,系统也不会去调用我们的函数,当系统在加载驱动的时候,i8042prt就记住了该回调函数真实地址,在回调的时候,不需要再去查设备扩展里的这个回调函数 地址了.
不过获得这个回调函数还是很有意义的,比如我们可以自己写程序,直接调用这个回调函数发送键盘驱动到上层应用程序,实现模拟键盘操作,跳过一些网络游戏的模拟键盘保护.
以上只是我的推测,如果不对,欢迎批评指正.

 下面是我把这一小节修改过后的代码: 
   
   
  1. #include "ntddk.h"
  2. #include <ntddkbd.h> 
  3. //键盘类驱动的名字
  4. #define KBD_DRIVER_NAME L"\\Driver\\Kbdclass"
  5. #define USBKBD_DRIVER_NAME L"\\Driver\\Kbdhid"
  6. //PS/键盘驱动名
  7. #define PS2KBD_DRIVER_NAME L"\\Driver\\i8042prt"
  8. typedef VOID(_stdcall *KEYBOARDCLASSSERVICECALLBACK)(
  9. 	IN PDEVICE_OBJECT DeviceObject,
  10. 	IN PKEYBOARD_INPUT_DATA InputDataStart,
  11. 	IN PKEYBOARD_INPUT_DATA InputDataEnd,
  12. 	IN OUT PULONG InputDataConsumed);
  15. KEYBOARDCLASSSERVICECALLBACK gServiceCallBack; 
  16. PULONG gAddrServiceCallBack = NULL;
  17. VOID MyKeyboardClassServiceCallback(
  18. 	IN PDEVICE_OBJECT DeviceObject,
  19. 	IN PKEYBOARD_INPUT_DATA InputDataStart,
  20. 	IN PKEYBOARD_INPUT_DATA InputDataEnd,
  21. 	IN OUT PULONG InputDataConsumed)
  22. {
  23. 	DbgPrint("MyKeyboardClassServiceCallback 被调用\n");
  24. 	gServiceCallBack(DeviceObject,InputDataStart,InputDataEnd,InputDataConsumed);
  25. }
  27. //IoDriverObjectType实际上是一个全局变量,但是头文件中没有,只要声明就可以使用了
  28. extern POBJECT_TYPE IoDriverObjectType;
  29. //下面这个函数是事实存在的,只是文档中没有公开,声明下就可以使用了
  30. NTSTATUS ObReferenceObjectByName
  31. 	(
  32. 	PUNICODE_STRING ObjectName,
  33. 	ULONG Attributes,
  34. 	PACCESS_STATE AccessState,
  35. 	ACCESS_MASK DesiredAccess,
  36. 	POBJECT_TYPE ObjectType,
  37. 	KPROCESSOR_MODE AccessMode,
  38. 	PVOID ParseContext,
  39. 	PVOID *Object
  40. 	);
  42. NTSTATUS SearchServiceCallBack()
  43. {
  44. 	//定义用到的一组局部变量.这些变量大多是顾名思义的
  45. 	int i = 0;
  46. 	NTSTATUS status = STATUS_UNSUCCESSFUL;
  47. 	UNICODE_STRING uniNtNameString;
  48. 	PDEVICE_OBJECT pTargetDeviceObject =NULL;
  49. 	PDRIVER_OBJECT KbdDriverObject = NULL;
  50. 	PDRIVER_OBJECT KbdhidDriverObject = NULL;
  51. 	PDRIVER_OBJECT Kbd8042DriverObject = NULL;
  52. 	PDRIVER_OBJECT UsingDriverObject = NULL;
  53. 	PDEVICE_OBJECT UsingDeviceObject = NULL;
  54. 	PVOID KbdDriverStart = NULL;
  55. 	ULONG KbdDriverSize = 0;
  56. 	PULONG UsingDeviceExt = NULL;
  57. 	//这里的代码用来打开USB端口驱动的驱动对象
  58. 	RtlInitUnicodeString(&uniNtNameString,USBKBD_DRIVER_NAME);
  59. 	status =    ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,
  60. 		KernelMode,NULL,(PVOID*)&KbdhidDriverObject);
  61. 	if(!NT_SUCCESS(status))
  62. 	{
  63. 		DbgPrint("获取USB驱动指针失败\n");
  64. 	}
  65. 	else
  66. 	{
  67. 		ObDereferenceObject(KbdhidDriverObject);
  68. 	}
  69. 	//打开PS/2键盘的驱动对象
  70. 	RtlInitUnicodeString(&uniNtNameString,PS2KBD_DRIVER_NAME);
  71. 	status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,(PVOID*)&Kbd8042DriverObject);
  72. 	if(!NT_SUCCESS(status))
  73. 	{    
  74. 		DbgPrint("获取PS/2驱动指针失败\n");
  75. 	}
  76. 	else
  77. 	{
  78. 		ObDereferenceObject(Kbd8042DriverObject);
  79. 	}
  80. 	//这段代码只考虑一个键盘起作用的情况.
  81. 	if(Kbd8042DriverObject && KbdhidDriverObject)
  82. 	{
  83. 		DbgPrint("一个以上键盘设备");
  84. 		return STATUS_UNSUCCESSFUL;
  85. 	}
  86. 	//系统用了其它种类的键盘,则返回失败
  87. 	if(!Kbd8042DriverObject&&!KbdhidDriverObject)
  88. 	{
  89. 		DbgPrint("没发现键盘设备");
  90. 		return STATUS_UNSUCCESSFUL;
  91. 	}
  92. 	//找到合适的驱动对象.不管是USB还是PS/2,反正是一定要找到一个的
  93. 	UsingDriverObject = Kbd8042DriverObject?Kbd8042DriverObject:KbdhidDriverObject;
  94. 	//找到这个驱动对象下的第一个设备对象
  95. 	UsingDeviceObject = UsingDriverObject->DeviceObject;
  96. 	//找到这个设备对象的设备扩展
  97. 	UsingDeviceExt = (PULONG)UsingDeviceObject->DeviceExtension;
  99. 	//首先必须打开驱动KdbClass,以便从驱动对象中得到其开始地址和大小
  100. 	RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);
  101. 	status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,(PVOID*)&KbdDriverObject);
  102. 	if(!NT_SUCCESS(status))
  103. 	{
  104. 		DbgPrint("获取键盘类指针失败");
  105. 		return STATUS_UNSUCCESSFUL;
  106. 	}
  107. 	else
  108. 	{
  109. 		ObDereferenceObject(KbdDriverObject);
  110. 		//如果成功了,就找到了KbdClass的开始地址和大小
  111. 		KbdDriverStart = KbdDriverObject->DriverStart;
  112. 		KbdDriverSize = KbdDriverObject->DriverSize;
  113. 	}
  114. 

  115.     //下面是主要修改的地方,因为用windebug查看后知道,回调函数就存放在对应设备对象的下一个内存地址
  117. 	while (UsingDeviceObject)
  118. 	{
  119. 		pTargetDeviceObject = KbdDriverObject->DeviceObject;
  120. 		while (pTargetDeviceObject)
  121. 		{
  122. 			UsingDeviceExt   = (PULONG)UsingDeviceObject->DeviceExtension;
  123. 			for (i = 0; i < 200; i++)
  124. 			{
  125. 				if (UsingDeviceExt[i] == (ULONG)pTargetDeviceObject &&
  126. 					UsingDeviceExt[i + 1] > (ULONG)KbdDriverStart    &&
  127. 					UsingDeviceExt[i + 1] < (ULONG)KbdDriverStart + KbdDriverSize)
  128. 				{
  129. 					gServiceCallBack=(KEYBOARDCLASSSERVICECALLBACK)UsingDeviceExt[i + 1];
  130. 					gAddrServiceCallBack = &(UsingDeviceExt[i + 1]);
  131. 					DbgPrint("回调函数存放地址 = %x\n",gAddrServiceCallBack);
  132. 					DbgPrint("回调函数地址 == 0x%x\n", gServiceCallBack);
  133. 					*gAddrServiceCallBack=(ULONG)MyKeyboardClassServiceCallback;
  134. 					DbgPrint("hook后回调函数地址== 0x%x\n", UsingDeviceExt[i + 1]);
  135. 					return STATUS_SUCCESS;
  136. 				}
  137. 			}	
  138. 				
  139. 			pTargetDeviceObject = pTargetDeviceObject->NextDevice;
  140. 		}
  141. 		UsingDeviceObject = UsingDeviceObject->NextDevice;
  142. 	}
  143.     //主要修改的地方
  144. 

  145. 	return STATUS_UNSUCCESSFUL;
  146. }
  149. void Unload(PDRIVER_OBJECT drv)
  150. {
  151. 	if (gAddrServiceCallBack)
  152. 	{
  153. 		*gAddrServiceCallBack = gServiceCallBack;
  154. 	}
  156. }
  158. NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path)
  159. {
  160. 	driver->DriverUnload = Unload;
  161. 	return SearchServiceCallBack();
  162. }





费玉清
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(四)NT驱动基础——分发函数
蛛丝
07-29 3188
一、分发函数的功能    学过用WinMain写窗口框架的人,一定了解窗口消息循环的原理。那么驱动程序又是如何相应的呢?答案是“请求分发”    先来看看“请求”是什么样的,它是应用程序通过API函数的接口发出的,发送给对应的驱动程序,但是又有一个问题,请求是有各种各样的类型,有的要求读,有的要求写,那么它们就要被分类后,分发到对应的自己编写的处理函数,这些函数叫做“分发函数”,也有翻译为“派遣函数”二、分发函数的基本形态//关于创建的分发函数,以IRP_MJ_CREATE请求为例NTSTTUS Creat
linux钩子函数回调函数,Linux Kernel 学习笔记10:hook函数
weixin_39608478的博客
05-03 875
(本章基于:Linux-4.4.0-37)linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。注册注销hook函数:linux/netfilter.h注册钩子函数:int nf_register_hook(struct nf_hook_ops *reg);注销:void nf_unregister_hook(str...
驱动中实现模拟键盘按键
04-26 9811
标 题: 驱动中实现模拟键盘按键作 者: luocong在ring3中实现模拟键盘按键有N^N种方式,比如SendInput()、keybd_event()……但在驱动中要怎么模拟呢?1、写端口大法#define defI8042_DATA_PORT ((PUCHAR)0x60)#define defI8042
钩子方法和回调函数详解
最新发布
swadian2008的博客
04-12 3990
回调函数(callback function)允许一个函数将另一个函数作为参数传递,并在需要的时候调用该函数。在Java中,可以使用接口或Lambda表达式实现回调函数。以下是一个简单的回调函数示例:(1)首先,我们需要定义一个接口,该接口定义了回调函数的规范。在这个例子中,我们定义了一个名为Callback的接口,它有一个方法onResult,该方法接受一个整数参数。(2)然后,我们创建一个类,该类中包含了我们需要执行的业务逻辑代码。在这个例子中,我们假设这段代码是计算两个整数的和。
Hook(回调,钩子)
wydbyxr的博客
12-25 3097
回调(hook)   hook是一种编程范例。对消息进行拦截,所以经常用来做木马。   Hooks就像一些外来的钩子,在源代码之间钩取(窃听)一些信息,当它捕捉到自己感兴趣的事发生,就拦截下来,让自己的代码执行一下,处理一下这个信息,然后再放出去继续之前的进程。这样就可以在不用改变源代码的情况下,做一些别的事情,比方说监控、分析和一些恶意的事。   Hook:在已经可以正常运作的程序中额外添加流程...
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
寒江独钓--Windows内核安全编程》是一份深入探讨Windows操作系统内核安全编程的珍贵资源,由知名技术专家“寒江独钓”编著。这份资料包含了丰富的Windows内核驱动开发实例,覆盖了从磁盘驱动、文件系统驱动到网络...
寒江独钓《Windows内核安全编程》
05-05
其实,Windows驱动程序员和黑客都在写内核程序,唯一不同的是驱动程序员按照微软设计的模型写程序,而黑客可以不按照这些框架写。Windows设计的这些框架,可以将操作系统的原理隐藏起来,只暴露一些接口,驱动程序员...
寒江独钓-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows下驱动编程(内附源码)。内核编程环境配置;串口过滤键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;...
寒江独钓:Windows内核安全编程(光碟源码 第一章)
07-30
寒江独钓:Windows内核安全编程》是针对Windows操作系统内核安全编程的一部重要教程,本章节主要聚焦在入门基础知识与安全编程的核心概念。Windows内核是系统的核心部分,它负责管理硬件资源、调度进程以及提供系统...
寒江独钓源码
06-23
"寒江独钓源码"是一个编程项目,其名称可能源于古诗《江雪》中的“孤舟蓑笠翁,独钓寒江雪”一句,寓意程序员独自在代码的世界里探索与创造。这个项目的源码提供了深入理解软件开发过程、编程技术和设计模式的机会。...
KeyboardClassServiceCallback
06-30
KeyboardClassServiceCallback
回调函数和钩子函数
weixin_48120109的博客
09-19 3257
回调函数
GCD之任务分发函数进阶
黄齐胜的博客
05-14 319
在前一篇文章,我们介绍了GCD的基本使用,其中就包含分发函数这一节,详细介绍了dispatch_async和dispatch_sync两个分发函数。今天我们就来探讨一下更多的分发函数,从而体验GCD中更高级的功能。对于分发函数中_f结尾的函数,不再进行详细介绍,有_f和没有_f的分发函数,不同点就是_f是把任务封装成C函数,而不带_f是把任务封装成block。GCD的任务分发函数除了之前介绍的两个之
callback回调函数hook钩子函数的简单理解
彭世瑜的博客
11-16 5788
回调函数callback:所调用函数执行完,之后调用的函数 钩子函数hook:消息到达目的地之前,进行拦截,处理消息 简单理解: Scrapy中就有使用: 回调函数,Request执行完下载流程之后,调用parse函数来解析页面 Request(url, callback=self.parse) 钩子函数就是middleware中间件,当Request请求对象到达Downloader下载器之前,...
关于回调函数和钩子函数基础知识的整理
weixin_30633507的博客
01-04 935
回调函数:Callback Function什么是回调函数?首先做一个形象的比喻:   你有一个任务,但是有一部分你不会做,或者说不愿做,所以我来帮你做这部分,你做你其它的任务工作或者等着我的消息,但是当我完成的时候我要通知你我做好了,你可以用了,我怎么通知你呢?你给我一部手机,让我做完后给你打电话,我就打给你了,你拿到我的成果加到你的工作中,继续完成其它的工作.这就叫回叫,手机是我通知你的...
<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(一)
The New Old Things
10-14 5516
Hook分发函数 前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。 一种方发是Hook分发函数,即将键盘驱动分发函数替换成自己的函数用来达到过滤的目的。
JavaScript:理解事件、事件处理函数、钩子函数回调函数
jiang_my的博客
06-29 1246
js获取dom数据的两种方式: 1  js派函数监听事件 =>监听函数就是所谓的钩子函数=>函数钩取事件:函数主动找事件=>钩子函数 2  js预留函数给dom事件,dom事件调用js预留的函数 =>事件派发给函数:事件调用函数=>回调函数 打个形象的比喻:书店、你、你小表弟、书店美女店员 书店暂时没有你要的书,咋办呢?  1)你无耻的派了你小表弟在书店24小时蹲
Windows内核编程与信息安全:寒江独钓
"寒江独钓——Windows内核编程与信息安全(免费试读版)" 《寒江独钓——Windows内核编程与信息安全》是楚狂人撰写的一本深入探讨Windows内核编程技术的专业书籍,主要面向已经具备C语言基础的读者。这本书详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值