[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数

最新推荐文章于 2018-10-21 22:01:03 发布
最新推荐文章于 2018-10-21 22:01:03 发布
阅读量134 收藏
点赞数
原文链接:http://www.cnblogs.com/Y4ng/archive/2012/05/23/2514732.html
版权

标 题: [IRP HOOK]  键盘过滤驱动学习

作 者: 0xFFFFCCCC

时 间: 2012-05-20

链 接: http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 

MajorFunction.h
#ifndef _MAJORFUNCTION_HEADERS_
#define _MAJORFUNCTION_HEADERS_

#include <ntddk.h>

#define DELAY_ONE_MILLISECOND           1000000


extern POBJECT_TYPE *IoDriverObjectType;

extern NTSTATUS ObReferenceObjectByName(     
                                 IN PUNICODE_STRING ObjectPath,     
                                 IN ULONG Attributes,     
                                 IN PACCESS_STATE PassedAccessState OPTIONAL,     
                                 IN ACCESS_MASK DesiredAccess OPTIONAL,     
                                 IN POBJECT_TYPE ObjectType,     
                                 IN KPROCESSOR_MODE AccessMode,     
                                 IN OUT PVOID ParseContext OPTIONAL,     
                                 OUT PVOID *ObjectPtr);  
    

PDRIVER_DISPATCH OldMajorFunction[IRP_MJ_MAXIMUM_FUNCTION+1];

#endif
#include "MajorFunction.h"

// 原键盘驱动分发统一处理
NTSTATUS OldKeyBoardDispath(PDEVICE_OBJECT DeviceObject, PIRP pIrp)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    PIO_STACK_LOCATION irpStack = NULL;

    irpStack = IoGetCurrentIrpStackLocation(pIrp);

    Status = OldMajorFunction[irpStack->MajorFunction](DeviceObject, pIrp);

    DbgPrint("IRP_MJ_FUNCTIOIN complete successful!\n");

    return Status;
}

// HOOK 函数, 替换键盘原来的MajorFunction
NTSTATUS MajorFunctionHook(PDRIVER_OBJECT DriverObject)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    PDRIVER_OBJECT KeyBoardDriverObject = NULL;
    UNICODE_STRING KeyBoardDriverName;
    PFILE_OBJECT pFileObject = NULL;
    int nIndex = 0;

    RtlInitUnicodeString(&KeyBoardDriverName, L"\\Driver\\Kbdclass");

    Status = ObReferenceObjectByName(&KeyBoardDriverName, OBJ_CASE_INSENSITIVE,\
        NULL, 0, IoDriverObjectType, KernelMode, NULL, &KeyBoardDriverObject);

    if (!NT_SUCCESS(Status))
    {
        DbgPrint("in MajorFunctionHook Get ObReferenceObjectByName by KeyBoardDriverObject Error\n");
        goto Exit0;
    }

    //保存及设置新键盘的MajorFunction
    for(nIndex = 0; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)
    {
        OldMajorFunction[nIndex] = KeyBoardDriverObject->MajorFunction[nIndex];
        InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], DriverObject->MajorFunction[nIndex]);
    }

    DbgPrint("IRP_MJ_FUNCTION Hook Successful!\n");

    // 解除引用
    ObDereferenceObject(KeyBoardDriverObject);
Exit0:
    return Status;
}

// 卸载函数
NTSTATUS UnLoadDriver(PDRIVER_OBJECT DriverObject)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    int nIndex = 0;
    PDRIVER_OBJECT KeyBoardDriverObject = NULL;
    UNICODE_STRING KeyBoardName;
    LARGE_INTEGER Delay;

    RtlInitUnicodeString(&KeyBoardName, L"\\Driver\\Kbdclass");

    Status = ObReferenceObjectByName(&KeyBoardName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType,\
        KernelMode, NULL, &KeyBoardDriverObject);

    if (!NT_SUCCESS(Status))
    {
        DbgPrint("UnloadDriver Get Keyboard Driver Object Error\n");
        goto Exit0;
    }


    // 交换原来的分发函数
    
    for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)
    {
        InterlockedExchangePointer(&KeyBoardDriverObject->MajorFunction[nIndex], OldMajorFunction[nIndex]);
    }

    DbgPrint("Change MajorFunction Successful!\n");

    Delay = RtlConvertLongToLargeInteger(5* DELAY_ONE_MILLISECOND);
    
    // 延时等待完成
    KeDelayExecutionThread(KernelMode, FALSE, &Delay);

    ObReferenceObject(KeyBoardDriverObject);
Exit0:
    return Status;
}


NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    int nIndex = 0;

    // 设置新的键盘分发函数
    for (nIndex; nIndex < IRP_MJ_MAXIMUM_FUNCTION; nIndex++)
    {
        DriverObject->MajorFunction[nIndex] = OldKeyBoardDispath;
    }

    DriverObject->DriverUnload = UnLoadDriver;

    Status = MajorFunctionHook(DriverObject);

    return Status;
}

转载于:https://www.cnblogs.com/Y4ng/archive/2012/05/23/2514732.html

weixin_30691871
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
IRP Hook
LYSM
03-02 825
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
寒江独-键盘过滤学习1传统型的键盘过滤
weixin_30378311的博客
12-07 128
最顶层的设备对象是驱动 Kbdclass 生成的设备对象 中间层的设备对象是驱动i8042prt生成的设备对象 最底层的设备对象是驱动ACPI生成的设备对象 学习参考: http://bbs.pediy.com/showthread.php?t=96205&highlight=IOAPIC http://bbs.pediy.com/showthre...
寒江独键盘过滤 学习笔记
weixin_30819085的博客
04-30 153
先来名词热身: 一、符号链接:其实就是一个别名。可以用一个不同的名字来代表一个设备对象 二、PDO:是物理设备对象,可以理解为是设备栈最下面的那个设备对象。 函数介绍: 内核中:ZwCreateFile是很重要的函数,不但可以打开文件,还可以打开设备对象。在应用程序中跟它对应的是CreateFile函数.. 接下来是记录Windows如何获得按键,然后传递给各个应用程序。 csrss这...
IRP HOOK
zyorz的博客
05-04 787
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
基于vs2008和WINDDK的键盘过滤程序--来自寒江独
07-29
自己根据寒江独整理的键盘过滤驱动程序,基于vs2008和WinDDK7600,这个程序比较完整,对于想要建立vs2008开发环境的同学而已,相当有入门参考意义。亲测能用。
寒江独--windows内核安全编程光盘源码_寒江独windows内核安全编程_
09-30
window各种过滤驱动源码,从磁盘驱动、文件驱动到网络驱动,都有讲解,值得一看,里面的例子足以带你进入驱动的双机
寒江独《Windows内核安全编程》
05-05
主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的...
寒江独:Windows内核安全编程 高清 电子版文
01-14
发现本书的错漏之处,请联系作者。请不要修改本文中任何内容,不经过作者的同意发布修改后的版本。 前言 本书非常适合熟悉Windows应用编程的读者转向驱动开发。所有的内容都从最基础的编程方法入手。介绍相关的...
寒江独源码
06-23
寒江独源码,需要的可以看看.很值得一看的好代码
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
键盘过滤驱动 获取键盘按键
12-09
把别人nt的键盘过滤驱动改成了wdm的,刚开始觉得很简单,但还是遇到各种问题,呵呵,学习!!学习!!
RootKit之[五] IRP Hook全家福
08-25 1245
 作 者: combojiang时 间: 2008-02-22,16:42链 接: http://bbs.pediy.com/showthread.php?t=60022年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的
[IRP HOOK] 键盘过滤驱动学习
weixin_30537451的博客
05-23 183
标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天; 真的发现,学东西是速成的,断断续续拖拖拉拉的...
寒江独键盘过滤部分程序修改
vbsourcecode的专栏
02-09 691
寒江独键盘过滤部分程序修改   看书的时候,发现书里第四章的键盘过滤程序并不能实现打印出扫描码详细信息的功能。我将程序修改了一下以后,可以实现该功能。以下是我的修改之处: void __stdcall print_keystroke(UCHAR sch,USHORT stch) {  UCHAR ch = 0;  int  off = 0;  if (!s
IRPhook
weixin_34384557的博客
10-21 379
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
IRP Hook 键盘Logger
11-09 4591
 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一
x86 IRP HOOK
XboxMicro
02-26 1336
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
寒江独windows内核编程源码
最新发布
07-02
寒江独Windows内核编程源码》是一本关于Windows内核编程的书籍,作者以“寒江独”来形容自己在Windows内核编程领域的独孤求败之意。这本书主要介绍了Windows操作系统的内核编程细节和原理。 在这本书中,作者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值