mergerly的专栏

 用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘，在端口驱动处理完IRP之后都会调用上层处理的回调函数，即KbdClass 处理输入数据的函数。Hook 这个回调函数，不但可以实现兼容PS/2 键盘和USB 键盘的Logger,而且比分层驱动的方法更加隐蔽。Kbdclass的这个回调函数是未导出的

通过直接调用Kbdclass的回调函数KeyboardClassServiceCallback直接给上层发送键盘驱动。这个方法网上已经公开，参考Hook KeyboardClassServiceCallback实现键盘 Logger，其他的还有很多，可以到网上去查。简单说一下没有公开的部分，就是按下和松开的模拟，已经扩展键的模拟。模拟主要是构造KEYBOARD_INPUT_DATA结构，按

 本来用系统自带的build命令编译后来发现Windows驱动开发技术详解上说用VC6可以编译,一直操作到了最后,一编译居然发现没有编译通过,于是在网上google了下,发现了别人的方法,看到中间的步骤就发现出问题来了,书中的是拿win2k的DDK做例子,可是装的XP的DDK是编译有问题的,晕,问题出在哪里呢?也就是Directories的Executable files应该把XP的DDK的B

How to configure Visual Studio 2010 for compiling drivers 一. Setup Visual Studio 2010二. Setup DDK (WDK)三. Add to VS pathes to DDK include files, libs and bins.四. Create new empty "Win32 proj

Author:  sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.org Date:    2007-02-26/******************************************************************* 这个键盘过滤驱

<br /><br />mirror driver 镜像驱动,直接创建一个虚拟的显卡驱动(个人认为)，将应用程序呼叫操作系统需要改变图形显示的时候事先截取应用程序需要显示的区域和内容，并缓冲到内存中。与实时捕获屏幕并比较差异的方法比较具有以下优点：<br />1、CPU占用率小，一般在5%以下，实时度高<br />2、不需要比较差异，因为截取的就是差异部分的图像缓冲<br />需要的驱动文件：<br />mirror.dll、mirror.inf、mirror.sys<br />如何获取这些文件：<br /

使用ZwSystemDebugControl，可以在ring3下读写内核空间虚拟内存//读取MEMORY_CHUNKS QueryBuff;DWORD *address2=new DWORD[dwServices];QueryBuff.Address = dwKernelBase+dwKiServiceTable;QueryBuff.Data = address2;