键盘的过滤(绑定驱动kdbclass的所有设备对象)

最新推荐文章于 2020-04-27 00:21:27 发布
最新推荐文章于 2020-04-27 00:21:27 发布
阅读量2.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012640985/article/details/23916543
版权
本文探讨了键盘输入过滤的实现,从IRP的传递流程开始,详细讲解了如何在驱动层捕获并处理IRP,特别是针对IRP_MJ_CREATE的操作。还介绍了键盘过滤的基础,包括符号连接的作用,以及在Windows中键盘设备栈的层次结构。在CPU与键盘的交互过程中,阐述了中断和扫描码的概念,并提到了在Windows XP下的中断号和端口号。最后,给出了键盘过滤的初步代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、首先irp的传递流程

1、I/O管理器创建一个空的IRP,然后将该IRP沿设备堆栈向下传递,比如IRP_MJ_CREATE、IRP_MJ_READ

2、如果驱动程序设置的分发函数捕获到IRP_MJ_CREATE,那么可以在这个分发函数(CREATEdispatch)中对该IRP进行操作,比如IoSetCompletionRoutine,这样当该IRP返回的时候,我们的驱动程序就可以再次捕捉到该IRP,这时候可以用来读取其中的数据,设置返回值等。

       如果没有设置分发函数来捕获这个IRP,那么就直接将该IRP传递给下层的驱动程序,这时候需要将lower DeviceObject的堆栈环境设置成和我们的过滤驱动的堆栈环境相同。需调用两个函数
IoGetCurrentIrpStackLocation and IoGetNextIrpStackLocation. 然后调用IoCallDriver将IRP传递给lower设备对象

3、IRP继续向下传递

4、如果该IRP完成了,那么CompletionRoutine就会被再次调用,之后沿着设备堆栈一直往上传递,返回给用户态的应用程序。

二、键盘过滤的基础

1、符号连接:
符号连接,其实就是一个别名.可以用一个不同的名字代表一个设备对象.

2.、csrss.exe中的win32!RawInputThread通过一个GUID(GUID_CLASS_KEYBOARD)

获得键盘设备栈中PDO符号连接名.

3、PS/2键盘设备栈,
最顶层的设备对象是驱动Kbdclass生成的设备对象
中间层的设备对象是驱动i8042prt生成的设备对象
最底层的设备对象是驱动ACPI生成的设备对象.


CPU与键盘交互方式是中断和读取端口

一个键需要两个扫描码.
按下的扫描码为x,则同一个键弹起为x+0x80

windows xp下端口号与中断号固定
中断号为0x93,端口号为0x60

最低0.47元/天 解锁文章
mlyKnow
关注
键盘过滤驱动
收破烂的
12-21 6273
在笔者接触驱动到现在以来一以后大半个月的时间,从中让我深深的体会到了万事开头难,以及学习持之以恒的重要性。笔者也是个驱动新人,开始接触驱动的时候看着张帆的《Windows驱动开发技术详解》讲的挺细,对新手来说是个不错的学习资料,但是更重要的还是自己要多动手练习,笔者在学习到同步操作的相关知识的时候,实在是看天书。最后还是放弃了学习本书。再找了本楚狂人的资料学习,感觉本书对新手来说还是比较吃力的,其
Windows驱动开发-键盘驱动过滤
weixin_42071117的博客
03-27 1382
#include <ntddk.h> extern POBJECT_TYPE IoDriverObjectType; #define KDB_DRIVER_NAME L"\\Driver\\Kdbclass" #define DELAY_ONE_MICROSECOND (-10) #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND * 1000) #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECON
驱动开发 键盘过滤驱动程序-- 传统的键盘过滤
weixin_34391854的博客
07-02 327
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。 如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中设置完毕例程,当IRP完毕后在完毕历程中得到按键信息。 KbdClass被称为键盘类驱...
驱动开发之 键盘过滤驱动--传统型键盘过滤
Lydia的博客
07-30 5671
近来在看 《寒江独钓 windows内核编程》,看到键盘过滤部分,记下笔记,仅供参考,有理解不对之处,还望大家指正。 现在来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们可以在读派遣函数中设置完成例程,当IRP完成后在完成历程中得到按键信息。 KbdClass被称为键盘驱动,在windows中,类
《Windows内核安全与驱动编程》-第八章-键盘过滤学习-day1
WocW的博客
04-24 1222
文章目录键盘过滤8.1 技术原理8.1.1 预备知识8.1.2 Windows 中从击键到内核8.1.3 键盘硬件原理8.2 键盘过滤的框架8.2.1 找到所有的键盘设备8.2.2 应用设备拓展8.2.3 键盘过滤模块的 DriverEntry8.2.4 键盘过滤模块的动态卸载明日计划 键盘过滤 8.1 技术原理 8.1.1 预备知识 ​ 何为符号链接?符号链接其实就是一个“别名”,可以用一个...
《Windows内核安全与驱动编程》-第八章-键盘过滤学习-day3
WocW的博客
04-27 511
键盘过滤 8.5 Hook 分发函数 ​ 前面讲述了进行键盘过滤。本节开始更加深入地探讨键盘过滤与反过滤的对抗。无论是过滤还是反过滤,其原理都是进行过滤。取胜的关键在于: 谁将第一个得到消息。 ​ 前面学到的键盘过滤方法,是通过在设备栈上绑定一个新的设备实现的。这样就有了一个简单的设想来防止黑客对键盘进行过滤: 检查设备栈,看上面是否有不明的设备。 ​ 但是一般的黑客软件如果想进行过滤的话,...
驱动对象 设备对象 设备栈 乱杂谈
jiurl的专栏
12-15 5748
驱动对象 设备对象 设备栈 乱杂谈作者: JIURL                 主页: http://jiurl.yeah.net         用有限的几句话就舒舒服服的建立起对驱动对象设备对象的概念是不可能的。刚开始是一片模糊,了解的多了,慢慢就清楚。下面的内容会使你对
过滤键盘驱动对象Kbdclass的所有设备对象
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 1761
过滤键盘驱动对象Kbdclass的所有设备对象 /*  描述:过滤键盘驱动对象Kbdclass的所有设备对象  */  #include   #include   // 外部变量声明  extern POBJECT_TYPE IoDriverObjectType;  // 通过驱动对象名称取得驱动对象的引用(未文档化)  NTSTATUS ObReferenceObjectB
第四章 键盘过滤(1)
流星的专栏
11-25 1347
4.1.1预备知识     并不是所有设备都可以通过绑定设备的方法进行过滤,其中硬盘就是一个例子,即使使用了IoAttachDevice,结果还是截获不到任何IRP.     符号链接是对象的一个别名.     PDO是物理设备的简称,是设备栈最下面的那个设备对象.     nt!ObpCreateHandel.这是WinDbg中使用的表示方法,!号前的内容表示模块名,
键盘过滤驱动学习
qq_22038209的博客
01-04 1375
--------------------------------------------------------------2016-7-15-------------- 1.windows中的键盘技术原理(键盘过滤驱动是工作在异步模式下)   在任务管理器中,csrss.exe进程描述为:   Csrss.exe进程有一个线程叫做win32!RawInputThread,这
键盘过滤驱动之IRP劫持
北极星2003的专栏
06-09 6698
参考资料:[1] 《Rootkits——Windows内核的安全与防护》[2] 让一切输入都难逃法眼(驱动键盘过滤钩子)本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。这里简单地列举了几个需要注意的地方:[1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。[2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会
扒光TP
flyzero的专栏
11-12 2831
本文章纯属技术交流,拿来主义勿进  (以下所提供的代码偏移现在肯定已经变化了) 本部分采用暴力干掉tp所有的保护措施,实际辅助运行不会采用这种方法 第一步: 我们首先要做的是保证双机调试能顺利进行,我用的是两台机机器通过串口调试(大部分人喜欢用虚拟机双机调试,我还是觉得2台机器方便,呵呵) tp 限制双机调试有2个办法的: 1 调用KdDisableDebugger,禁止调试,并且检测系
驱动编程---来个例子感性认识下
kendyhj9999的专栏
01-01 1266
from:http://blog.sina.com.cn/s/blog_61d65e360100gd7p.html 驱动编程---来个例子感性认识下 (2009-12-17 01:03:46) 转载▼ 标签: 杂谈   下面是个例子,代码作者是张帆,我来详细解释,从中遇到知识点,我延伸出来分析。 忘记说了,前些日子,公司搬家,好了之后有累
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值