FSD键盘钩子框架参考爱写驱动的女装大佬

最新推荐文章于 2021-01-18 15:10:05 发布
原创 最新推荐文章于 2021-01-18 15:10:05 发布 · 460 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在VS2013和WDK8.1环境下,通过修改内核模式驱动的读取操作,实现对键盘设备的驱动劫持。展示了使用ObReferenceObjectByName函数打开目标驱动,替换其IRP_MJ_READ处理函数的具体过程。

环境:vs2013+wdk8.1

#include <ntddk.h>

extern	POBJECT_TYPE *IoDriverObjectType;
PDRIVER_OBJECT kbdriver = NULL;
typedef	NTSTATUS(*pBeforeRead)(PDEVICE_OBJECT pDevice, PIRP pIrp);

pBeforeRead BeforeRead = NULL;


NTSTATUS
ObReferenceObjectByName(
__in PUNICODE_STRING ObjectName,
__in ULONG Attributes,
__in_opt PACCESS_STATE AccessState,
__in_opt ACCESS_MASK DesiredAccess,
__in POBJECT_TYPE ObjectType,
__in KPROCESSOR_MODE AccessMode,
__inout_opt PVOID ParseContext,
__out PVOID *Object
);

NTSTATUS Unload(PDRIVER_OBJECT driver)
{
	DbgPrint("Unload me");
	return STATUS_SUCCESS;
}

NTSTATUS MyRead(PDEVICE_OBJECT pDevice, PIRP pIrp)
{
	DbgPrint("====Read====");
	/*do something you like*/
	return BeforeRead(pDevice, pIrp);
}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING regpath)
{
	UNICODE_STRING	kbdname = RTL_CONSTANT_STRING(L"\\Driver\\Kbdclass");
	NTSTATUS status = ObReferenceObjectByName(&kbdname, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &kbdriver);
	if (!NT_SUCCESS(status)){
		DbgPrint("Open Kbdclass Failed");
		return STATUS_SUCCESS;
	}
	else{
		ObDereferenceObject(kbdriver);
	}

	BeforeRead = kbdriver->MajorFunction[IRP_MJ_READ];
	kbdriver->MajorFunction[IRP_MJ_READ] = MyRead;

	return STATUS_SUCCESS;
}

在这里插入图片描述

(源码)基于Windows驱动开发的X70FSD文件系统过滤驱动.zip
04-15
# 基于Windows驱动开发的X70FSD文件系统过滤驱动 ## 项目简介 X70FSD是一个基于Windows minifilter的文件系统过滤驱动,专注于处理文件数据的加密、压缩或其他修改。该项目遵循GPL v3.0协议,旨在提供一个高效、...
Ext2Fsd-0.70实现Windows10系统读ext2/3/4文件系统的工具(0.70以上才支持win10)
10-19
免费的Windows系统读ext2/3/4文件系统的工具,支持windows 7/8/10,安装完后需要重启一次,(0.70以上才支持win10和ext4)
驱动层虚拟机检测参考爱写驱动女装大佬
Cosmopolitan的博客
09-17 565
#include <ntddk.h> #include <windef.h> typedef struct _SYSTEM_MODULE_INFORMATION{ HANDLE Section; PVOID MappedBase; PVOID base; ULONG Size; ULONG Flags; USHORT LoadOrderIndex; ...
驱动键盘钩子
weixin_30443731的博客
12-15 447
现在网上很多盗QQ的木马,发现都不管用得,顺便做了这只QQ木马,这里发布一部分核心的代码内核代码,用于记录QQ密码,此代码编译后可以在win2000到win7下正常运行,百分百能获取正确的QQ和密码,用户太下面的代码,只能获取QQ和密码,不带邮件发送功能,和系统隐藏功能,主要是怕有些人哪去干坏事,所以我不发布完整版的代码,以下驱动代码需要编译为NTI0.SYS文件放到C:\\Windo...
驱动层和r3程序通讯的列子参考爱写驱动女装大佬
Cosmopolitan的博客
09-14 479
开发环境:VS2013+WDK8.1 驱动层: #include <ntddk.h> #define DEVICE_NAME "\\Device\\MyReadDevice" #define SYM_LINK_NAME "\\??\\MyRead" NTSTATUS DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("unload ...
XP中Inline HOOK 8042驱动实现键盘钩子的方法
06-07 1952
首先说说我这个驱动的动机,说来特别搞笑。首先是QQ的Nportect有时候会搞得我的键盘按键混乱,这搞得我很郁闷。这使我对键盘产生了兴趣,但是真正让我动手的原因却更有趣。公司有一台老机器给我们用于测试,但机器的键盘却不好用,我们只能把测试用的命令复制到文本中上传上去。如此的不便使我动手了一个远程控制键盘驱动,由于我不知道每个键的scancode,网上的资料又乱七八糟懒得仔细看了,所以顺编
Windows驱动学习(六)-- FSD钩子
安全杂货铺
11-21 2673
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook 1. 概述 FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。 2. 驱动 2.1 驱动入口函数 入口函数简单明...
linux磁盘读工具ext2fsd-0.69
03-13
Linux磁盘读工具Ext2Fsd-0.69是一款专为Windows系统设计的实用程序,它允许用户在Windows环境下直接访问和操作Linux文件系统,尤其是EXT2、EXT3和EXT4这三种常见的Linux文件系统。这款工具对于那些需要在Windows和...
ext2fsd-0.69 Windows 系统下的ext2/3/4 分区读工具
06-30
linux磁盘读工具ext2fsd-0.69 这是一款可以在Windows =10下读取Linux ext2 ext3 和 ext4 系统分区的小工具,可以实现在 Windows 系统中挂载 Linux 分区的目的,并可以像在Windows磁盘一样在Linux分区中读数据,...
FATEK FSD-A2系列伺服驱动使用手册.rar
09-16
FATEK FSD-A2系列伺服驱动使用手册rar,FATEK FSD-A2系列伺服驱动使用手册:FSD-A2 可由数字面板操作器或透过PC 人机程序来操作,提供多样化的机能,使产品更能符合客户各种不同的应用需求。
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.youkuaiyun.com/MaybeHelios/
对付kernel / fsd inline hook/ssdt hook
03-21 1044
<!-- if (!document.phpAds_used) document.phpAds_used = ,; phpAds_random = new String (Math.random()); phpAds_random = phpAds_random.substring(2,11); document.write ("<" + "script
fsd
Continue strive
07-10 426
fds<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0
FSDHOOK恢复
125096
08-30 667
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
挂钩FSD实现文件隐藏
zacklin的专栏
05-18 1829
【文章标题】: 挂钩FSD实现文件隐藏 【文章作者】: index09 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 最近看Fastfat驱动想到的方法。查了一下又是被别人玩过了,还是简单说一下吧
内核模块字符相关处理
lygl35的博客
01-18 595
一、初始化字符串 : RtlInitUnicodeString(&deviceanme, DEVICE_NAME) #define DEVICE_NAME L"\\Device\\MyfirstDevice" //定义一个驱动的名字 UNICODE_STRING deviceanme = { 0 };//初始一个存储设备名字的内存空间 RtlInitUnicodeString(&deviceanme, DEVICE_NAME);//初始化一个字符串 DbgPrint("--:%wZ
利用键盘钩子捕获Windows键盘动作(补充)
roytao2的博客
06-22 3112
相关教程查看以下链接 http://nanjingwangbo.blog.163.com/blog/static/218746124201411910453736/ http://www.aiuxian.com/article/p-2271934.html 补充 捕获的为键盘的字符,且保存为.log文件,比如按"Shift"键时查看log文件就会乱码,可以修改保存文件类型为.d
导出对象类型POBJECT_TYPE
08-14 1351
extern POBJECT_TYPE *IoDriverObjectType;     Status = ObReferenceObjectByName(         &amp;usObjectName,         OBJ_CASE_INSENSITIVE,         NULL,         0,         *IoDriverObjectType,         Ke...
FATEK FSD-A2系列伺服驱动使用手册详解
FATEK FSD-A2系列伺服驱动使用手册是一份针对工业自动化领域中高精度运动控制设备的详细技术文档,涵盖了从硬件结构、参数设置、操作方式到故障诊断等全方位的知识点。该手册主要面向电气工程师、自动化系统集成人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值