驱动笔记15 - 键盘过滤驱动学习笔记

键盘过滤驱动对于分层驱动的学习是一个很好的例子，它相对文件过滤驱动来说较为简单，也更容易理解。

   并不是所有的驱动都需要直接访问硬件的，事实上几乎所有的硬件设备都存在着驱动程序链，最底层的驱动程序可以直接访问硬件，并对上层提供透明服务，最上层的驱动程序只要对接收到的数据进行过滤、格式化等处理即可，这样大大减少了开发的难度。

我这次学习的对象是KLOG，但我将它的代码进行了精简，这样使得它的工作流程更容易被看清楚。

首先看DriverEntry例程：

NTSTATUS
DriverEntry(
      INPDRIVER_OBJECT      pDriverObject,
      INPUNICODE_STRING      RegistryPath
)
{
      int                      i = 0;
      PDEVICE_EXTENSION      pKeyboardDeviceExtension ;

      for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION;i ++)
      {
              pDriverObject ->MajorFunction[i] = DispatchPassDown;
      }

      pDriverObject ->MajorFunction[IRP_MJ_READ]      = DispatchRead;
      pDriverObject ->DriverUnload                      = Unload;
     
      // 开启记录
      HookKeyboard(pDriverObject);

      // 设置DEVICE_EXTERSION
      pKeyboardDeviceExtension =(PDEVICE_EXTENSION)pDriverObject ->DeviceObject ->DeviceExtension;

      returnSTATUS_SUCCESS;
}

   很容易看懂，我就不多说了，其中DispatchPassDown仅仅将接收到的IRP转发给下一层设备，代码就不贴了。下面我们先来看其中的重头戏之一：HookKeyboard。

NTSTATUS
HookKeyboard(
      INPDRIVER_OBJECT      pDriverObject
)
{
      NTSTATUS              status;
      PDEVICE_OBJECT      pKeyboardDeviceObject;
      PDEVICE_EXTENSION      pKeyboardDeviceExtension ;
      STRING                      ntNameString;
      UNICODE_STRING      uKeyboardDeviceName;
      CCHAR                      ntNameBuffer[ 64] = " \\ Device \\ KeyboardClass0";

      // 创建设备
      status =IoCreateDevice(pDriverObject,
                              sizeof(DEVICE_EXTENSION),
                              NULL,
                              FILE_DEVICE_KEYBOARD,
                              0,
                              TRUE,
                              &pKeyboardDeviceObject);
      if ( !NT_SUCCESS(status))
      {
              returnstatus;
      }

      pKeyboardDeviceObject ->Flags |= (DO_BUFFERED_IO |DO_POWER_PAGABLE);
      pKeyboardDeviceObject ->Flags &= ~DO_DEVICE_INITIALIZING;

      // 设置DEVICE_EXTENSION
      RtlZeroMemory(pKeyboardDeviceObject ->DeviceExtension, sizeof(DEVICE_EXTENSION));
      pKeyboardDeviceExtension =(PDEVICE_EXTENSION)pKeyboardDeviceObject ->DeviceExtension;

      // 绑定到设备
      RtlInitAnsiString( &ntNameString,ntNameBuffer);
      RtlAnsiStringToUnicodeSt ring( &uKeyboardDeviceName, &ntNameString,TRUE);
      IoAttachDevice(pKeyboardDeviceObject, &uKeyboardDeviceName, &pKeyboardDeviceExtension ->pKeyboardDevice);
      RtlFreeUnicodeString( &uKeyboardDeviceName);

      returnSTATUS_SUCCESS;
}

   首先IoCreateDevice不用多说了，在任何一个驱动程序中都会见到，关键是下面的Flags设置和IoAttachDevice。我们创建了设备之后，需要将其加入到键盘的驱动程序链中，这个具体转化为代码就是将我们的设备Attatch到"\\Device\\KeyboardClass0"中（当然不一定非得是这个设备，挂这个设备的主要目的是为了能够动态卸载我们的驱动，因此不能挂接更上层的设备）。

   为了得到按键操作的信息，我们发送一个IRP_MJ_READ到驱动的设备栈，由于此时还不一定有按键产生，于是驱动程序把这个IRP标记为pending状态，一旦有按键产生，则马上把这个IRP完成，所以我们需要在IRP_MJ_READ的处理例程中设置一个完成例程。（因为我们工作的异步模式下）

NTSTATUS
DispatchRead(
      INPDEVICE_OBJECT      pDeviceObject,
      INPIRP              pIrp
)
{
      PIO_STACK_LOCATION      currentIrpStack;
      PIO_STACK_LOCATION      nextIrpStack;


      currentIrpStack =IoGetCurrentIrpStackLoca tion(pIrp);
      nextIrpStack =IoGetNextIrpStackLocatio n(pIrp);
      *nextIrpStack = *currentIrpStack;
      // 设置完成例程
      IoSetCompletionRoutine(pIrp, OnReadCompletion, pDeviceObject, TRUE,TRUE, TRUE);
     
      returnIoCallDriver(((PDEVICE_EXTENSION)pDeviceObject ->DeviceExtension) ->pKeyboardDevice,pIrp);
}

在这个完成例程OnReadCompletion中，我们就可以获取按键的信息了，代码如下所示：

NTSTATUS
OnReadCompletion(
      INPDEVICE_OBJECT      pDeviceObject,
      INPIRP                              pIrp,
      INPVOID                      Context
)
{
      PDEVICE_EXTENSION              pKeyboardDeviceExtension ;
      PKEYBOARD_INPUT_DATA              keys;
      int                              numKeys;
      int                              i = 0;

      pKeyboardDeviceExtension =(PDEVICE_EXTENSION)pDeviceObject ->DeviceExtension;

      if (pIrp ->IoStatus.Status == STATUS_SUCCESS)
      {
              keys =(PKEYBOARD_INPUT_DATA)pIrp ->AssociatedIrp.SystemBuffer;
              numKeys = pIrp ->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);

              for(i = 0; i < numKeys; i ++)
              {
                      DbgPrint( "ScanCode:%x \n ",keys[i].MakeCode);
                     
      //       if(keys[i].Flags == KEY_BREAK)
      //           DbgPrint("%s\n", "KeyUp");       
      //       if(keys[i].Flags == KEY_MAKE)
      //           DbgPrint("%s\n", "Key Down");
              }
      }
     
      if(pIrp ->PendingReturned)
      {
              IoMarkIrpPending(pIrp);
      }

      return pIrp ->IoStatus.Status;
}

   不过这里我们获取到是只是按键的扫描码，如果想知道直观的按键信息，还需要写个函数进行处理，这里我就给省略了。虽然这个程序比起rootkit.com上面那个KLOG简单的多，使得它的流程更加清楚，也更容易理解，但它不实用。

   为什么呢？因为实用的键盘记录器应该能够将按键信息保存起来，这里我们只能通过DbgView来看到按键信息。但由于这个完成例程的IRQL为DISPATCH，不能进行文件操作，因此在KLOG的代码中是首先创建一个线程，然后在线程中进行保存操作，因为线程函数工作在PASSIVE，允许处理文件。

   一旦涉及到线程和文件操作就变得麻烦多了，关于这点可以通过KLOG的代码看出来，其实也不难，就是需要考虑的东西较多而已。

   最后说一下，这个程序还有一个BUG，就是在卸载的时候再有按键就会BSOD，因为在我们卸载驱动的时候，还有很多IRP处于pending状态，当我们被卸载后，再有按键操作，IRP返回后却找不到对应的驱动，就会造成蓝屏的后果。

关于这个问题，网上有很多文章都介绍了介绍的办法，我也没有实验过，就不废话了。