逆向自己写的键盘过滤驱动

最新推荐文章于 2024-07-24 13:46:26 发布
最新推荐文章于 2024-07-24 13:46:26 发布
阅读量363 收藏
点赞数
分类专栏: 安全开发 Windows逆向 windows游戏安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109222730
版权
本文主要介绍了如何逆向分析自己编写的Debug版键盘过滤驱动。通过IDA工具,作者发现DriverEntry实际为sub_401250,并详细解析了DriverObject结构体及其相关回调函数。逆向过程中,识别关键结构体如IRP和_IO_STATUS_BLOCK对于理解代码至关重要。
摘要由CSDN通过智能技术生成

  闲来无事,逆向一下自己写的驱动,加深下认识。
  这里把逆向的驱动分为Debug版Release版加载PDB版。三个版本的特点是:
  Debug版不会被编译器优化,比较适合学习逆向。
  Release版是发布对外的,逆向时很多结构体和反汇编都被优化变形了,只能说是有原来代码的特征。
  加载PDB版就几乎等同于阅读源码了,没什么挑战。

  所以这里学习重点讲的是逆向Debug版编译的自己的驱动。

Debug版

在这里插入图片描述
  首先拖入IDA识别的DriverEntry并不是我们实际的DriverEntry函数。而是sub_401250。
  注意入口处DestinationString结构的赋值以及WdfVersionBind函数都是编译后系统添加上去的。
  具体初始化都是些什么函数可以加载PDB后看下,这里意义不大。

在这里插入图片描述

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
逆向一个基于驱动的恶意程序
04-16 2453
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
键盘过滤驱动
收破烂的
12-21 6220
在笔者接触驱动到现在以来一以后大半个月的时间,从中让我深深的体会到了万事开头难,以及学习持之以恒的重要性。笔者也是个驱动新人,开始接触驱动的时候看着张帆的《Windows驱动开发技术详解》讲的挺细,对新手来说是个不错的学习资料,但是更重要的还是自己要多动手练习,笔者在学习到同步操作的相关知识的时候,实在是看天书。最后还是放弃了学习本书。再找了本楚狂人的资料学习,感觉本书对新手来说还是比较吃力的,其
Windows过滤驱动 以及简单例子
最新发布
zhangyihu321的专栏
07-24 294
Windows 过滤驱动是一种特殊类型的驱动程序,它可以拦截发送到另一个驱动程序或设备的 I/O 请求,修改或增强这些请求的行为。以下是对 Windows 过滤驱动的详细解释,并附带一个简单的键盘过滤驱动示例。在实际应用中,过滤驱动可以用于更复杂的任务,如监控、安全增强、虚拟化等。- 过滤驱动通常用于增加功能或修改现有驱动的行为,而无需修改原始驱动。- 这只是一个简化的示例,实际的驱动程序需要更多的错误处理和资源管理。- 过滤驱动位于设备栈中,可以是上层过滤驱动或下层过滤驱动。// 将小字母转换为大
驱动开发 键盘过滤驱动程序-- 传统的键盘过滤
weixin_34391854的博客
07-02 240
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。 如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中设置完毕例程,当IRP完毕后在完毕历程中得到按键信息。 KbdClass被称为键盘类驱...
键盘过滤驱动 获取键盘按键
12-09
标题中的“键盘过滤驱动 获取键盘按键”涉及到的是计算机操作系统中的一种技术,主要是通过编特定的驱动程序来拦截和处理键盘输入。在Windows操作系统中,驱动程序分为不同层次,WDM(Windows Driver Model)是一...
冰刃源代码,揭示驱动层的秘密,hook
12-13
1. 过滤机制:冰刃的hook技术包含了一套高效的过滤机制,它可以根据预设条件筛选出需要监控或操作的目标,从而避免无谓的性能损耗。 2. 挂载SDT(System Descriptor Table):SDT是系统描述符表,存储了系统调用的...
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 1989
目录* 16.1 本篇概述 + 16.1.1 本篇内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本篇将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
逆向驱动书籍资料包1
09-09
逆向驱动书籍资料包内涵大量书籍以及资料说明。
keyfilter键盘过滤
07-24
读取键盘按键的简单驱动,另有应用程序显示出按键信息.自己的,可以运行。
键盘过滤驱动改键程序
05-27
键盘过滤驱动实现的改键,屏蔽按键功能,新手刚自学的驱动开发,高手请略过,
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1822
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
初学驱动逆向,笔记二。
Diomedes's Place
12-20 923
例子: [ \chapter09\StartIOTest ] 本例子的核心代码是HelloDDKStartIO处理过程。 初学驱动逆向逆向函数还原代码,无壳无花,流程也很简单。 IDA反汇编代码: void __stdcall HelloDDKStartIO(_DEVICE_OBJECT *DeviceObject, _IRP *Irp) event= _KEVENT ptr -1Ch
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 932
驱动开发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值