过滤键盘驱动对象Kbdclass的所有设备对象

最新推荐文章于 2023-09-14 14:07:54 发布
最新推荐文章于 2023-09-14 14:07:54 发布
阅读量1.7k 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: null filter input ext keyboard object

过滤键盘驱动对象Kbdclass的所有设备对象


  1. /* 
  2.  描述:过滤键盘驱动对象Kbdclass的所有设备对象 
  3.  */  
  4. #include <ntddk.h>  
  5. #include <ntddkbd.h>  
  6. // 外部变量声明  
  7. extern POBJECT_TYPE IoDriverObjectType;  
  8. // 通过驱动对象名称取得驱动对象的引用(未文档化)  
  9. NTSTATUS ObReferenceObjectByName(  
  10.     IN PUNICODE_STRING ObjectName,  
  11.     IN ULONG Attributes,  
  12.     IN PACCESS_STATE AccessState,  
  13.     IN ACCESS_MASK DesiredAccess,  
  14.     IN POBJECT_TYPE ObjectType,  
  15.     IN KPROCESSOR_MODE AccessMode,  
  16.     IN PVOID ParseContext,  
  17.     OUT PVOID *Object  
  18.     );  
  19. // 过滤设备扩展  
  20. typedef struct _FILTER_EXT  
  21. {  
  22.     PDEVICE_OBJECT LowerDeviceObject;  
  23. } FILTER_EXT, *PFILTER_EXT;  
  24. // 全局计数  
  25. ULONG gKeyCount;  
  26. // 驱动入口例程  
  27. NTSTATUS DriverEntry(  
  28.     IN PDRIVER_OBJECT DriverObject,  
  29.     IN PUNICODE_STRING RegistryPath  
  30.     );  
  31. // 驱动卸载例程  
  32. VOID DriverUnload(  
  33.     IN PDRIVER_OBJECT DriverObject  
  34.     );  
  35. // IRP处理例程  
  36. NTSTATUS Dispatch(  
  37.     IN PDEVICE_OBJECT DeviceObject,  
  38.     IN PIRP Irp  
  39.     );  
  40. // 挂载例程  
  41. VOID Attach(  
  42.     IN PDRIVER_OBJECT DriverObject  
  43.     );  
  44. // Read完成例程  
  45. NTSTATUS ReadCompletionRoutine(  
  46.     IN PDEVICE_OBJECT DeviceObject,  
  47.     IN PIRP Irp,  
  48.     IN PVOID Context  
  49.     );  
  50. #ifdef ALLOC_PRAGMA  
  51. #pragma alloc_text(INIT, DriverEntry)  
  52. #pragma alloc_text(PAGE, DriverUnload)  
  53. #pragma alloc_text(PAGE, Dispatch)  
  54. #pragma alloc_text(INIT, Attach)  
  55. #pragma alloc_text(PAGE, ReadCompletionRoutine)  
  56. #endif  
  57. /* 
  58.  描述:驱动入口例程 
  59.  */  
  60. NTSTATUS DriverEntry(  
  61.     IN PDRIVER_OBJECT DriverObject,  
  62.     IN PUNICODE_STRING RegistryPath  
  63.     )  
  64. {  
  65.     NTSTATUS status = STATUS_SUCCESS;  
  66.     USHORT idx;  
  67.     KdPrint(("DriverEntry invoke/n"));  
  68.     for (idx = 0; idx <= IRP_MJ_MAXIMUM_FUNCTION; ++idx) {  
  69.         DriverObject->MajorFunction[idx] = Dispatch;  
  70.     }  
  71.     DriverObject->DriverUnload = DriverUnload;  
  72.     gKeyCount = 0;  
  73.     Attach(DriverObject);  
  74.     return status;  
  75. }  
  76. /* 
  77.  描述:驱动卸载例程 
  78.  */  
  79. VOID DriverUnload(  
  80.     IN PDRIVER_OBJECT DriverObject  
  81.     )  
  82. {  
  83.     LARGE_INTEGER interval;  
  84.     PDEVICE_OBJECT curDeviceObject;  
  85.     KdPrint(("DriverUnload invoke/n"));  
  86.     // 降低当前线程的优先级,避免延时对系统的影响  
  87.     KeSetPriorityThread(KeGetCurrentThread(), LOW_REALTIME_PRIORITY);  
  88.     curDeviceObject = DriverObject->DeviceObject;  
  89.     while (curDeviceObject != NULL) {  
  90.         IoDetachDevice(((PFILTER_EXT)curDeviceObject->DeviceExtension)->LowerDeviceObject);  
  91.         IoDeleteDevice(curDeviceObject);  
  92.         curDeviceObject = curDeviceObject->NextDevice;  
  93.     }  
  94.     interval.QuadPart = (-1) * 100 * 1000;  
  95.     while (gKeyCount > 0) {  
  96.         KeDelayExecutionThread(KernelMode, FALSE, &interval);  
  97.     }  
  98.     KdPrint(("DriverUnload ok/n"));  
  99. }  
  100. /* 
  101.  描述:IRP处理例程 
  102.  */  
  103. NTSTATUS Dispatch(  
  104.     IN PDEVICE_OBJECT DeviceObject,  
  105.     IN PIRP Irp  
  106.     )  
  107. {  
  108.     PDEVICE_OBJECT lowerDeviceObject = ((PFILTER_EXT)DeviceObject->DeviceExtension)->LowerDeviceObject;  
  109.     PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(Irp);  
  110.     switch (irpsp->MajorFunction) {  
  111.         case IRP_MJ_POWER:  
  112.         {  
  113.             KdPrint(("IRP_MJ_POWER/n"));  
  114.             PoStartNextPowerIrp(Irp);  
  115.             IoSkipCurrentIrpStackLocation(Irp);  
  116.             return PoCallDriver(lowerDeviceObject, Irp);  
  117.             break;  
  118.         }  
  119.         case IRP_MJ_PNP:  
  120.         {  
  121.             KdPrint(("IRP_MJ_PNP/n"));  
  122.             switch (irpsp->MinorFunction) {  
  123.                 case IRP_MN_REMOVE_DEVICE:  
  124.                 {  
  125.                     KdPrint(("IRP_MN_REMOVE_DEVICE/n"));  
  126.                     IoDetachDevice(lowerDeviceObject);  
  127.                     IoDeleteDevice(DeviceObject);  
  128.                     IoSkipCurrentIrpStackLocation(Irp);  
  129.                     return IoCallDriver(lowerDeviceObject, Irp);  
  130.                 }  
  131.                 default:  
  132.                 {  
  133.                     KdPrint(("IRP_MJ_PNP -> Unknown MinorFunction : %x/n", irpsp->MinorFunction));  
  134.                     IoSkipCurrentIrpStackLocation(Irp);  
  135.                     return IoCallDriver(lowerDeviceObject, Irp);  
  136.                 }  
  137.             }  
  138.         }  
  139.         case IRP_MJ_READ:  
  140.         {  
  141.             KdPrint(("IRP_MJ_READ/n"));  
  142.             gKeyCount++;  
  143.             IoCopyCurrentIrpStackLocationToNext(Irp);  
  144.             IoSetCompletionRoutine(Irp, ReadCompletionRoutine, DeviceObject, TRUE, TRUE, TRUE);  
  145.             return IoCallDriver(lowerDeviceObject, Irp);  
  146.         }  
  147.         default:  
  148.         {  
  149.             KdPrint(("Unknown IRP : %x/n", irpsp->MajorFunction));  
  150.             IoSkipCurrentIrpStackLocation(Irp);  
  151.             return IoCallDriver(lowerDeviceObject, Irp);  
  152.         }  
  153.     }  
  154. }  
  155. /* 
  156.  描述:挂载例程 
  157.  */  
  158. VOID Attach(  
  159.     IN PDRIVER_OBJECT DriverObject  
  160.     )  
  161. {  
  162.     NTSTATUS status;  
  163.     PDRIVER_OBJECT targetDriverObject;  
  164.     PDEVICE_OBJECT curDeviceObject;  
  165.     PDEVICE_OBJECT lowerDeviceObject;  
  166.     PDEVICE_OBJECT filterDeviceObject;  
  167.     UNICODE_STRING kbdClassName;  
  168.     KdPrint(("Attach invoke/n"));  
  169.     RtlInitUnicodeString(&kbdClassName, L"//Driver//Kbdclass");  
  170.     status = ObReferenceObjectByName(&kbdClassName, OBJ_CASE_INSENSITIVE, NULL, 0,   
  171.                                      IoDriverObjectType, KernelMode, NULL, &targetDriverObject);  
  172.     if (!NT_SUCCESS(status)) {  
  173.         KdPrint(("ObReferenceObjectByName failed/n"));  
  174.         return ;  
  175.     }  
  176.     ObDereferenceObject(targetDriverObject);  
  177.     curDeviceObject = targetDriverObject->DeviceObject;  
  178.     while (curDeviceObject != NULL) {  
  179.         status = IoCreateDevice(DriverObject, sizeof(FILTER_EXT), NULL, curDeviceObject->DeviceType,   
  180.                                 curDeviceObject->Characteristics, FALSE, &filterDeviceObject);  
  181.         if (!NT_SUCCESS(status)) {  
  182.             KdPrint(("IoCreateDevice failed/n"));  
  183.         } else {  
  184.             lowerDeviceObject = IoAttachDeviceToDeviceStack(filterDeviceObject, curDeviceObject);  
  185.             if (lowerDeviceObject == NULL) {  
  186.                 KdPrint(("IoAttachDeviceToDeviceStack failed/n"));  
  187.                 IoDeleteDevice(filterDeviceObject);  
  188.             } else {  
  189.                 ((PFILTER_EXT)filterDeviceObject->DeviceExtension)->LowerDeviceObject = lowerDeviceObject;  
  190.                 filterDeviceObject->Flags |=   
  191.                            lowerDeviceObject->Flags & (DO_BUFFERED_IO | DO_DIRECT_IO | DO_POWER_PAGABLE);  
  192.                 filterDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;  
  193.             }  
  194.         }  
  195.         curDeviceObject = curDeviceObject->NextDevice;  
  196.     }  
  197. }  
  198. /* 
  199.  描述:Read完成例程 
  200.  */  
  201. NTSTATUS ReadCompletionRoutine(  
  202.     IN PDEVICE_OBJECT DeviceObject,  
  203.     IN PIRP Irp,  
  204.     IN PVOID Context  
  205.     )  
  206. {  
  207.     KdPrint(("ReadCompletionRoutine invoke/n"));  
  208.     if (NT_SUCCESS(Irp->IoStatus.Status)) {  
  209.         ULONG len, idx;  
  210.         PUCHAR buf;  
  211.         PKEYBOARD_INPUT_DATA inputData;  
  212.         len = Irp->IoStatus.Information;  
  213.         buf = (PUCHAR)Irp->AssociatedIrp.SystemBuffer;  
  214.         for (idx = 0; idx < len; idx += sizeof(KEYBOARD_INPUT_DATA)) {  
  215.             buf += idx;  
  216.             inputData = (PKEYBOARD_INPUT_DATA)buf;  
  217.             KdPrint(("ScanCode : %x  %s/n", inputData->MakeCode, inputData->Flags?"Up" : "Down"));  
  218.         }  
  219.     }  
  220.     gKeyCount--;  
  221.     if (Irp->PendingReturned) {  
  222.         IoMarkIrpPending(Irp);  
  223.     }  
  224.     return Irp->IoStatus.Status;  


内核驱动_08_键盘驱动原理及代码
hskull的博客
02-17 1879
文章目录技术原理Windows中从击键到内核流程键盘硬件原理键盘过滤的框架搭建应用设备扩展键盘过滤模块的动态卸载键盘过滤的请求处理通常的处理PNP的处理读的处理读完成的处理从请求中打印出按键信息从缓冲区中获得KEYBOARD_INPUT_DATA从KEYBOARD_INPUT_DATA中得到键从MakeCode得到实际字符完整代码 技术原理 Windows中从击键到内核 打开任务管理器,可以看到...
Windows驱动开发-键盘驱动过滤
weixin_42071117的博客
03-27 1278
#include <ntddk.h> extern POBJECT_TYPE IoDriverObjectType; #define KDB_DRIVER_NAME L"\\Driver\\Kdbclass" #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECON
键盘过滤(绑定驱动kdbclass的所有设备对象
u012640985的专栏
04-17 2187
一、首先irp的传递流程 1、I/O管理器创建一个空的IRP,然后将该IRP沿设备堆栈向下传递,比如IRP_MJ_CREATE、IRP_MJ_READ 2、如果驱动程序设置的分发函数捕获到IRP_MJ_CREATE,那么可以在这个分发函数(CREATEdispatch)中对该IRP进行操作,比如IoSetCompletionRoutine,这样当该IRP返回的时候,我们的驱动程序就
驱动开发 键盘过滤驱动程序-- 传统的键盘过滤
weixin_34391854的博客
07-02 263
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。 如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中设置完毕例程,当IRP完毕后在完毕历程中得到按键信息。 KbdClass被称为键盘类驱...
《Windows内核安全与驱动编程》-第八章-键盘过滤学习-day2
WocW的博客
04-25 714
文章目录键盘过滤8.3 键盘过滤的请求处理8.3.1 通常的处理8.3.2 PNP的处理8.3.3 读的处理8.3.4 读完成的处理8.4 从请求中打印出按键信息8.4.2 从 KEYBOARD_INPUT_DATA 中得到的键8.4.3 从MakeCode 到实际字符明日计划 键盘过滤 8.3 键盘过滤的请求处理 8.3.1 通常的处理 ​ 最通常的处理就是直接发送到真实设备,跳过虚拟设备的...
《Windows内核安全与驱动编程》-第八章-键盘过滤学习-day3
WocW的博客
04-27 472
键盘过滤 8.5 Hook 分发函数 ​ 前面讲述了进行键盘过滤。本节开始更加深入地探讨键盘过滤与反过滤的对抗。无论是过滤还是反过滤,其原理都是进行过滤。取胜的关键在于: 谁将第一个得到消息。 ​ 前面学到的键盘过滤方法,是通过在设备栈上绑定一个新的设备实现的。这样就有了一个简单的设想来防止黑客对键盘进行过滤: 检查设备栈,看上面是否有不明的设备。 ​ 但是一般的黑客软件如果想进行过滤的话,...
<寒江独钓>Windows内核安全编程__键盘过滤内核级Hook(一)
The New Old Things
10-14 5543
Hook分发函数 前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。 一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。
驱动开发之 键盘过滤驱动--传统型键盘过滤
Lydia的博客
07-30 5587
近来在看 《寒江独钓 windows内核编程》,看到键盘过滤部分,记下笔记,仅供参考,有理解不对之处,还望大家指正。 现在来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们可以在读派遣函数中设置完成例程,当IRP完成后在完成历程中得到按键信息。 KbdClass被称为键盘驱动,在windows中,类
键盘过滤驱动学习[文].pdf
10-13
`MajorFunctionHook`函数是本文档中的关键部分,它的目标是挂钩(HOOK)原键盘驱动的`MajorFunction`数组,这样可以控制键盘事件的处理流程。 在`MajorFunctionHook`函数中,首先通过`ObReferenceObjectByName`函数...
KbdClass键盘过滤驱动以及书中几处错误
Sven的忘却日记
11-20 1813
《寒江独钓》这本书中的键盘过滤驱动例子中,照着书上的例子抄完,代码有些错误的地方! 书上的例子有3处错误,分别如下: 1)对象类型声明错误 extern POBJECT_TYPE IoDriverObjectType; 修改为以下正确方式 extern POBJECT_TYPE *IoDriverObjectType; 在使用的*IoDriverObjectType地方,也需要修改成正确的方式...
紫陌:键盘过滤内核级Hook
ccx_john的专栏
10-13 1052
Hook分发函数   前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。   一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。   1.获得类驱动对象   首先要获得键盘驱动对象,才能去替换下面的分发函数。这个操作较为简单,因
驱动程序
kendyhj9999的专栏
01-01 864
驱动程序------(前言) (2009-08-25 17:31:19) 转载▼ 标签: 驱动 驱动程序 驱动程序时什么   前言 说起来有点搞笑,关于驱动程序,我也是无意在网络上看到有关它的介绍。当然凡事介绍此程序,大都关于计算机病毒或者是杀毒软件厂商宣称自己的软件进入驱动级,如何如何的牛X。也就是从那时候起,我才开始关注驱动程序,从而走
手把手教你玩转网络编程模型之完成例程(Completion Routine)篇(下) .
kety2001的专栏
10-10 597
四.         完成例程的实现步骤 基础知识方面需要知道的就是这么多,下面我们配合代码,来一步步的讲解如何亲手实现一个完成例程模型(前面几步的步骤和基于事件通知的重叠I/O方法是一样的)。 【第一步】创建一个套接字,开始在指定的端口上监听连接请求 和其他的SOCKET初始化全无二致,直接照搬即可,在此也不多费唇舌了,需要注意的是为了一目了然,我去掉了错误处理,平常可不要这样啊,尽管这
Windows socket-重叠模型
weixin_30359021的博客
07-15 115
重叠I/O 一.重叠模型的优点 1. 可以运行在支持Winsock2的所有Windows平台 ,而不像完成端口只是支持NT系统。 2. 比起阻塞、select、WSAAsyncSelect以及WSAEventSelect等模型,重叠I/O(Overlapped I/O)模型使应用程序能达到更佳的系统性能。 因为它和这4种模型不同的是,使用重叠模型...
win下串口异步通讯示例解析
最新发布
a_fool_fis的博客
09-14 415
根据你的具体需求,你可能需要在读写完成后调用相应的回调函数(如ReadCompletionRoutine。找了太多太多资料,就是没找到一篇完完整整的串口异步通讯,那我就自己写一个示例吧。和WriteCompletionRoutine。
键盘驱动系列---JIURL键盘驱动 5
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 1767
7 键盘驱动的运作 7.1 输入数据队列简介 i8042prt 和 kbdclass 各有一个输入数据队列,他们是循环使用的缓冲区。他们的每个单元是一个 KEYBOARD_INPUT_DATA 结构。 i8042prt 的自定义的设备扩展中,保存着一些指针和计数值,用来使用它的那个输入数据队列。 PKEYBOARD_INPUT_DATA 类型的 InputData , Da
_KEYBOARD_INPUT_DATA
test
05-17 3372
_KEYBOARD_INPUT_DATA
寒江独钓 第四章 按键信息 扫描码和Ascii码
流星的专栏
11-26 1113
4.4.1从缓冲区中获得KEYBOARD_INPUT_DATA     请求完成之后,读到的信息在Irp->AssociatedIrp.SystemBuffer中,这个缓冲区可能含有n个KEYBOARD_INPUT_DATA结构     这个结构定义如下 typedef struct _KEYBOARD_INPUT_DATA{ //对设备\Device\Keyboa
Ring0键盘记录器:InlineHookKbdclass.sys实现
这个函数是Windows操作系统键盘驱动的一部分,它处理来自硬件键盘的输入事件。通过内联钩子(Inline Hook)技术,可以在不改变原有函数代码的情况下,插入自定义的处理代码,从而实现键盘输入的记录。 InlineHook是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值