键盘过滤

最新推荐文章于 2023-02-07 11:32:55 发布
最新推荐文章于 2023-02-07 11:32:55 发布
阅读量640 收藏 2
点赞数
分类专栏: 内核与驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36916179/article/details/105554947
版权

文章目录

键盘过滤

PDO:Physical Device Object,字面意义是物理设备,暂时可以这么理解:PDO为设备栈中最下面的那个设备对象

键盘工作原理:P121页;简述:当键盘有按键按下/松开时,将会触发中断处理函数,中断服务例程由键盘驱动提供,键盘的驱动会从端口读取扫描码,经过处理后,将获取到的数据提交给IRP,将会有对应线程对该IRP进行读取获取键盘信息。

一般来说一个PS/2的键盘的设备栈(没有安装其它键盘过滤驱动的话)为:顶层设备对象为KbdClass驱动生成的设备对象,中间层的设备对象是驱动8042prt生成的设备对象,底层设备对象是驱动ACPI生成的设备对象,

无须关心上面的细节,只需要知道一个正规的键盘过滤驱动一般是去绑定KbdClass驱动生成的设备对象。

键盘过滤的框架

  • 找到并绑定所有的键盘设备。

    • KbdClass驱动名为\Driver\Kbdclass,通过ObReferenceObjectByName,可以打开该驱动。
    • 通过设备链遍历KbdClass驱动的设备对象,利用IoCreateDevice创建过滤设备对象,使用IoAttachDeviceToDeviceStack绑定每一个设备即可绑定到所有的键盘设备,将该API返回的参数以设备扩展的方式保存,方便直接下发IRP给下层设备对象。

  • 设置相应的IRP回调,需要关心的有IRP_MJ_READ(因为要过滤的就是读取按键信息)、IRP_MJ_POWER(因为这类请求需要使用PoCallDriver和一个PoStartNextPowerIrp来向下层设备发送IRP)、IRP_MJ_PNP(当设备被插拔时的分发函数)、以及相应的卸载函数。

    • IRP_MJ_READ

      当截到read的irp请求时,应该有一个全局变量计数器对其进行+1操作,目的是为了在卸载驱动的时候,等待该全局变量计数器归0再去卸载,不然会造成irp完成例程还没结束时就卸载的情况,此时就会蓝屏。

      因为读取的IRP还没下发,所以并不知道读取了什么内容,只能通过设置完成例程来获取IRP读取的内容。通过如下代码拷贝栈空间,设置IRP完成例程来读取键盘的内容。

      IoCopyCurrentIrpStackLocationToNext(Irp);
IoSetCompletionRoutine( Irp, c2pReadComplete, 
        DeviceObject, TRUE, TRUE, TRUE );

      在完成例程中可以通过如下代码来获取所有读取的内容,也可以修改读取的内容来讲LOCK键改成CTRL键,当完成例程结束时还需要将全局变量-1.

      if( NT_SUCCESS( Irp->IoStatus.Status ) ) 
     {
       
        // 获得读请求完成后输出的缓冲区
        buf = Irp->AssociatedIrp.SystemBuffer;
		KeyData = (PKEYBOARD_INPUT_DATA)buf;
        // 获得这个缓冲区的长度。一般的说返回值有多长都保存在
        // Information中。
        buf_len = Irp->IoStatus.Information;
        numKeys = buf_len / sizeof(KEYBOARD_INPUT_DATA);
        //… 这里可以做进一步的处理。我这里很简单的打印出所有的扫
        // 描码。
        //for(i=0;i<buf_len;++i)
		for(i=0;i<numKeys;++i)
        {
       
            //DbgPrint("ctrl2cap: %2x\r\n", buf[i]);
			DbgPrint("\n");
			DbgPrint("numKeys : %d",numKeys);
			DbgPrint("ScanCode: %x ", KeyData->MakeCode ); 
			DbgPrint("%s\n", KeyData->Flags ?"Up" : "Down" );
			print_keystroke((UCHAR)KeyData->MakeCode);

			if( KeyData->MakeCode == CAPS_LOCK) 
			{
        
				KeyData->MakeCode = LCONTROL; 
			}
最低0.47元/天 解锁文章
被bin按在地上
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
键盘过滤驱动程序设计.pdf
08-26
键盘过滤驱动程序设计 (1) 想DIY DDK驱动 键盘过滤驱动程序设计.pdf (433.08 KB, 下载次数: 51 )
基于vs2008和WINDDK的键盘过滤程序--来自寒江独钓
07-29
自己根据寒江独钓整理的键盘过滤驱动程序,基于vs2008和WinDDK7600,这个程序比较完整,对于想要建立vs2008开发环境的同学而已,相当有入门参考意义。亲测能用。
键盘过滤
qq_41071646的博客
01-17 556
这几天心态崩了 就没怎么继续撸  看pwn看的心态有点崩  然后 看驱动看不下了  所以 划了一天的水。。 然后这次写的是  键盘过滤 这次  看的是   资料是   windows黑客技术编程   其实这个 我感觉 还是比较好理解的 首先是  一个 扩展设备    typedef struct _DEVICE_EXTENSION { PDEVICE_OBJECT pAttachDe...
第四章 键盘过滤(1)
流星的专栏
11-25 1286
4.1.1预备知识     并不是所有设备都可以通过绑定设备的方法进行过滤,其中硬盘就是一个例子,即使使用了IoAttachDevice,结果还是截获不到任何IRP.     符号链接是对象的一个别名.     PDO是物理设备的简称,是设备栈最下面的那个设备对象.     nt!ObpCreateHandel.这是WinDbg中使用的表示方法,!号前的内容表示模块名,
驱动开发 键盘过滤驱动程序-- 传统的键盘过滤
weixin_34391854的博客
07-02 227
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。 如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中设置完毕例程,当IRP完毕后在完毕历程中得到按键信息。 KbdClass被称为键盘类驱...
关于键盘过滤驱动卸载后敲击键盘蓝屏的解决方案
Seele_Yes的博客
02-07 335
最近在学习驱动开发时,看到了一个键盘过滤驱动的文章,于是尝试跑了下代码,发现代码在跑起来时没有问题,但卸载后任意敲击一个按键都会导致蓝屏,因此尝试寻找解决方法。 ​
键盘过滤驱动
11-26
键盘过滤驱动】是一种特殊的系统级程序,它在操作系统的核心层运行,用于拦截并处理键盘输入事件。这种驱动程序的设计目的通常是为了实现特定的安全需求,如防止恶意软件通过键盘记录用户的敏感信息,或者进行定制...
keyfilter_监视_键盘过滤_
10-04
标题“keyfilter_监视_键盘过滤_”暗示我们讨论的主题是关于一个键盘过滤驱动程序,它可能用于监视或控制键盘输入。在这个上下文中,我们主要关注的是如何在VC(Visual C++)环境下开发这样的系统级驱动程序,以及...
ctrl2cap.rar_键盘过滤驱动
09-24
标题“ctrl2cap.rar_键盘过滤驱动”暗示我们关注的是一个与键盘输入过滤相关的驱动程序,它是用面向对象的C语言编写的,并且是针对Windows操作系统进行开发的。在这个领域,驱动程序是操作系统与硬件之间的重要桥梁...
【转帖】让一切输入都难逃法眼(驱动级键盘过滤钩子)(zz)
floweronwarmbed的专栏
11-03 1797
 驱动分层结构,这是windows的特性,IO管理器的两个重要的设计:1、Windows中的任何一个驱动程序都被设计成Client/Server模式。对于客户端驱动,通过IoGetDeviceObjectPointer之类的获取服务端驱动导出的Device对象,通过IO管理器的IoCallDriver请求服务端的服务。IoCallDriver实际上根据客户端的调用参数(通过IRP)调用服务端的
键盘过滤驱动 获取键盘按键
12-09
把别人nt的键盘过滤驱动改成了wdm的,刚开始觉得很简单,但还是遇到各种问题,呵呵,学习!!学习!!
<读书笔记>Windows内核安全 —— 第四章 键盘过滤
一泓清水
03-25 948
本章讲了几种过滤键盘的方法,说实话越往后越深,写的很全,后面我没看懂,下面是我看懂的部分记录了下来。        文章开头讲了几个知识点:        1) 符号链接,用一个不同的明智代表一个设备对象,上层可以通过该名称访问相应的设备对象。        2) ZwCreateFile,在内核中用于打开文件(设备对象)的函数,是应用层的Createfile在内核层的实现
WDK例子之键盘过滤驱动简单总结
weixin_30795127的博客
06-07 470
/*--Copyright (c) 1998. 1999 Microsoft Corporation Module Name: kbfiltr.c Abstract: Environment: Kernel mode only. Notes: --*/ #include "kbfiltr.h" NTSTATUS DriverEntry (PDRIVER_OBJE...
windows键盘过滤
仙人Immortal的博客
01-18 500
windows键盘过滤 #include <ntddk.h> #include <ntddkbd.h> extern POBJECT_TYPE *IoDriverObjectType; typedef struct _DEV_EXT { //结构大小 ULONG uNodeSize; //过滤设备 PDEVICE_OBJECT pFltDevObj; //自旋锁 KSPIN_LOCK lockRequests; //同步事件 KEVENT eventProgres
linux 键盘过滤,linux – 需要拦截HID Keyboard事件(然后阻止它们)
weixin_39531594的博客
05-15 343
我有一个RFID USB设备,注册为HID设备(A USB键盘或多或少).我正在寻找一种方法来捕获此输入,并在它碰到普通键盘事件处理程序(并将10位数的RFID代码输出到控制台)之前对其进行阻塞/过滤.我当然必须专门捕获这个设备,并且将真正的键盘输入单独留下(或传递给它).我最初的想法是在UDEV中阻止设备(所以usbhid / event / kbd内核模块没有绑定到它),并为这个设备编写自己的...
键盘过滤驱动之IRP劫持
hutao1101175783的专栏
04-23 603
参考资料: [1] 《Rootkits——Windows内核的安全与防护》 [2]让一切输入都难逃法眼(驱动级键盘过滤钩子) 本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。 这里简单地列举了几个需要注意的地方: [1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。 [2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会发送一个IRP(IRP_MJ_READ)到驱动的设备栈,键盘物理驱动收到这个IRP后会一直保持为pend.
如何使用vs 2019编写键盘过滤驱动,并且编译为dll
最新发布
04-18
对于如何使用vs 2019编写键盘过滤驱动,并且编译为dll的问题,我可以给您提供一些基本的步骤。首先,您需要安装WDK(Windows Driver Kit)和VS2019,然后创建一个新的项目,选择WDM驱动程序类型,并选择键盘过滤器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值