[IRP HOOK] 键盘过滤驱动学习

最新推荐文章于 2021-03-02 11:26:22 发布
最新推荐文章于 2021-03-02 11:26:22 发布
阅读量215 收藏
点赞数
原文链接:http://www.cnblogs.com/Y4ng/archive/2012/05/23/2514720.html
版权

标 题: [IRP HOOK]  键盘过滤驱动学习
作 者: 0xFFFFCCCC
时 间: 2012-05-20
链 接: http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 

 

IRP HOOK 这个篇幅整整学习了大半个多月,  中间穿插了驾照考试第二科目, 然后5.1回家十多天;

真的发现,学东西是速成的, 断断续续拖拖拉拉的 今天学过几天又忘记了。

写下此篇文章作为备忘以及借用百度空间的搜索率来帮助后来的同学!

感谢 北极星2003 写的 键盘过滤驱动之IRP劫持 , 读者会发现两份代码雷同之处很多;

附上关键代码

/*************************************************
Function:       IRPHookKeyBoard
Description:    以IRP的方式HOOK键盘设备
Input:          DeviceObject 一个驱动设备指针
Output:         无
Return:         成功返回 STATUS_SUCCESSFUL 否则为其他    
*************************************************/
NTSTATUS IRPHookKeyBoard(PDEVICE_OBJECT DeviceObject)
{
// 建立新的驱动过滤对象
PDEVICE_EXTENSION pDeviceExtension = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;
UNICODE_STRING usKeyBoardSymlic;

RtlInitUnicodeString(&usKeyBoardSymlic, L"\\Device\\keyboardClass0");

// 设置新设备的标志与底层键盘设备标记相同   
// 在DriverEntry例程中创建的设备对象,并不需要必须清除DO_DEVICE_INITIALIZING标识,   
// 这是因为这个工作将会由I/O管理器自动完成。   
// 然而,如果创建了其它设备对象,则需要进行该清除工作。   
// 对DEVICE_EXTENSION结构清0

DeviceObject->Flags = DeviceObject->Flags | ( DO_BUFFERED_IO | DO_POWER_PAGABLE | DO_DIRECT_IO );
DeviceObject->Flags = DeviceObject->Flags &~ DO_DEVICE_INITIALIZING;

RtlZeroMemory(DeviceObject->DeviceExtension, sizeof(DEVICE_EXTENSION));
pDeviceExtension->bAttached = TRUE;

// 安装过滤钩子
return IoAttachDevice(DeviceObject, &usKeyBoardSymlic, &pDeviceExtension->pKeybdDevObject);
}


NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
NTSTATUS Status = STATUS_UNSUCCESSFUL;
PDEVICE_OBJECT pdoDeviceObj = NULL;

pGIrp = NULL;
pGDriverObject = DriverObject;
RtlInitUnicodeString(&GusMyDriverName, L"\\Device\\MykeyboardClass");
RtlInitUnicodeString(&GusSymlinkName, L"\\Device\\keyboardSymlc");

Status = IoCreateDevice(DriverObject, sizeof(DEVICE_EXTENSION), &GusMyDriverName, \
FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &pdoDeviceObj);

if (!NT_SUCCESS(Status))
{
DbgPrint("Device Create Error\n");
goto Exit0;
}

Status = IoCreateSymbolicLink(&GusSymlinkName, &GusMyDriverName);

if (!NT_SUCCESS(Status))
{
IoDeleteDevice(pdoDeviceObj);
DbgPrint("Create R3 symbolic Error\n");
goto Exit0;
}

DriverObject->MajorFunction[IRP_MJ_CREATE] = 
DriverObject->MajorFunction[IRP_MJ_CLOSE] = KeyBoardFileDispathCreateClose;
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KeyBoardDispathDeviceControl;
DriverObject->MajorFunction[IRP_MJ_READ] = KeyBoardDispathRead;
DriverObject->DriverUnload = UnLoad;

Status = IRPHookKeyBoard(pdoDeviceObj);
Exit0:
return Status; 
}

// 键盘事件完成函数
// IRP = DISPATCH_LEVEL !!!
NTSTATUS OnReadCompletion(PDEVICE_OBJECT DeviceObject, PIRP pIrp, PVOID Context)
{
PKEYBOARD_INPUT_DATA pKeyBoardData  = NULL;
PDEVICE_EXTENSION pDeviceExtension  = NULL;

pDeviceExtension = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;

if (STATUS_SUCCESS == pIrp->IoStatus.Status)
{
pKeyBoardData = (PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;

_try
{
// 按键数据处理
if (pKeyBoardData->Flags == KEY_MAKE)
{
//DbgPrint("Scan code 0x%2x Press\n", pKeyBoardData->MakeCode);
}
else if(pKeyBoardData->Flags == KEY_BREAK)
{
DbgPrint("%s %0x  ", ExplainKeyBoardCode[pKeyBoardData->MakeCode], pKeyBoardData->MakeCode);
if (pKeyBoardData->MakeCode == 0x1c)
{
DbgPrint("\n");
}
//DbgPrint("0x%2x", pKeyBoardData->MakeCode);
}
}
_except(EXCEPTION_CONTINUE_EXECUTION)
{
DbgPrint("completion error %x\n",  GetExceptionCode());
}

}

// 必须设置panding 状态,以方便底层设备处理键盘read事件
 if (pIrp->PendingReturned == TRUE)
 {
 IoMarkIrpPending(pIrp);
 }

return pIrp->IoStatus.Status;
}


NTSTATUS KeyBoardDispathRead(PDEVICE_OBJECT DeviceObject, PIRP pIrp)
{
PDEVICE_EXTENSION pDeviceExtension = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;

pGIrp = pIrp;
IoCopyCurrentIrpStackLocationToNext(pIrp);
IoSetCompletionRoutine(pIrp, OnReadCompletion, DeviceObject, TRUE, TRUE, TRUE);

return IoCallDriver(pDeviceExtension->pKeybdDevObject, pIrp);
}

// 卸载函数
NTSTATUS UnLoad(PDRIVER_OBJECT DriverObject)
{
PDEVICE_EXTENSION DeviceExtension = NULL;
KTIMER kTimer;
LARGE_INTEGER timeout;

DeviceExtension = (PDEVICE_EXTENSION)((pGDriverObject->DeviceObject)->DeviceExtension);

if (DeviceExtension->bAttached)
{
IoDetachDevice(DeviceExtension->pKeybdDevObject);
DeviceExtension->bAttached = FALSE;
}

if (NULL != pGIrp)
{
IoCancelIrp(pGIrp);
}

IoDeleteSymbolicLink(&GusSymlinkName);
IoDeleteDevice(pGDriverObject->DeviceObject);

return STATUS_SUCCESS;
}


/*IRP HOOK 键盘过滤 包含的关键头文件*/

typedef struct _DEVICE_EXTENSION {   
PDEVICE_OBJECT pKeybdDevObject ;   
ULONG           uIrpPenddingCount ;   
BOOLEAN         bAttached ;   
} DEVICE_EXTENSION, *PDEVICE_EXTENSION ;   


typedef struct _KEYBOARD_INPUT_DATA {
USHORT UnitId;
USHORT MakeCode;
USHORT Flags;
USHORT Reserved;
ULONG ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

const char ExplainKeyBoardCode[][12] = 
{
"",
"Esc",
"1", "2", "3", "4", "5", "6", "7", "8", "9", "0",
"-", "=", "Backspace", "Tab", 
"q", "w", "e", "r", "t", "y", "u", "i", "o", "p",
"[", "]", "Enter", "Left Ctrl",
"a", "s", "d", "f", "g", "h", "j", "k", "l", 
";", "'", "who2", "Left Shift", "\\", 
"z", "x", "c", "v", "b", "n", "m",
",", ".", "/", "Right Shift", 
"*", "Left Alt", "Space", "CapsLock", /*0x3A*/
"F1", "F2", "F3", "F4", "F5", "F6", "F7", "F8", "F9", "F10", /*"F11", "F12",*/
"NumLock", "who3", /*0x46*/
"7", "8", "9", "-", "4", "5", "6", "+", "1", "2", "3", "0", ".",
"", "", "", "F11", "F12"

};


UNICODE_STRING GusMyDriverName;
UNICODE_STRING GusSymlinkName;
PDRIVER_OBJECT pGDriverObject;
PIRP pGIrp;

本文代码下载 http://115.com/file/bec4ops2#KeyBoardIRP.rar

转载于:https://www.cnblogs.com/Y4ng/archive/2012/05/23/2514720.html

第八个猴子
关注
IRP Hook 键盘Logger
11-09 4628
 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一
Windows驱动开发-键盘驱动过滤
weixin_42071117的博客
03-27 1278
#include <ntddk.h> extern POBJECT_TYPE IoDriverObjectType; #define KDB_DRIVER_NAME L"\\Driver\\Kdbclass" #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECON
IRP Hook
LYSM
03-02 961
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
hook键盘驱动中的分发函数实现键盘输入数据的拦截
Masimaro的专栏
03-08 2382
我自己在看《寒江独钓》这本书的时候,书中除了给出了利用过滤的方式来拦截键盘数据之外,也提到了另外一种方法,就是hook键盘分发函数,将它替换成我们自己的,然后再自己的分发函数中获取这个数据的方式,但是书中并没有明确给出代码,我结合书中所说的一些知识加上网上找到的相关资料,自己编写了相关代码,并且试验成功了,现在给出详细的方法和代码。 用这种方式时首先根据ObReferenceObjectByNam
IRP HOOK
zyorz的博客
05-04 851
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
RootKit之[五] IRP Hook全家福
08-25 1269
 作 者: combojiang时 间: 2008-02-22,16:42链 接: http://bbs.pediy.com/showthread.php?t=60022年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的
键盘过滤驱动学习[文].pdf
10-13
本文档“键盘过滤驱动学习[文].pdf”似乎详细讲解了如何编写一个键盘过滤驱动,特别是如何替换原键盘分发函数。在软件网络技术领域,这种技术可能用于安全、数据收集或特定应用程序的需求。 首先,我们要了解IRP(I...
windows键盘过滤HOOK分发函数)
u012640985的专栏
04-17 1636
前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。   一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。   1.获得类驱动对象   首先要获得键盘驱动对象,才能去替换下面的分发函数。这个操作较为简单,因为
windwos键盘过滤Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
u012640985的专栏
04-24 1427
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
内核:过滤驱动1
08-03
- **键盘过滤驱动示例**:以键盘过滤驱动为例,我们可以在驱动的入口函数中注册全部的派遣函数,并为特定的读操作实现单独的处理。同时,使用`IoSetCompletionRoutine`注册一个完成例程,以便在IRP成功、错误或被...
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
VC 驱动键盘记录Hook源码.zip
06-03
VC 驱动键盘记录Hook源码.zip
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 149
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
IRPhook
weixin_34384557的博客
10-21 404
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
x86 IRP HOOK
XboxMicro
02-26 1393
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
IRP Hook检测
Returns' Station
05-11 1042
1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 2 { 3 PDRIVER_OBJECT pdrv = 0; 4 NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMo
C#实现Hook功能
weixin_30567225的博客
07-19 1115
C#实现Hook功能 发布一个自己写的用于Hook.Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨安装:Install-PackageDotNetDetour源码:https://github.com/bigbaldy1128/DotNetDetour1.为何想做这个说到hook大家都应该不陌生,就是改变函数的执行流程,让...
DIY键盘过滤驱动:原理与实现
本篇文档详细探讨了键盘过滤驱动程序的设计过程,适用于对驱动程序开发有兴趣的学生,如代培生班的李勃同学。课程的大作业任务是设计一个键盘过滤驱动程序,其核心目标是捕捉键盘的扫描码,并能根据应用程序的设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值