通过将分发函数指针修改为自己驱动中的分发函数来截获按键信息

然后在自己的函数中调用原来被替换的旧的函数指针让击键过程执行下去

首先获得键盘类的驱动对象

//驱动的名字

#define KBD_DRIVER_NAME L"\\Driver\\kbdclass"

//保存kbdclass驱动对象的指针

PDRIVER_OBJECT KbdDriverObject;

UNICODE_STRING uniNtNameString;

//初始化驱动名字字符串

RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);

//根据名字获得驱动对象

status = ObReferenceObjectByName(

&uniNtNameString,

OBJ_CASE_INSENSITIVE,

NULL,

0,

IoDriverObjectType,

KernelMode,

NULL,

&KbdDriverObject

);

if(!NT_SUCCESS(status)){

//失败

DbgPrint("misaka: get driver objrct filed\r\n");

return STATUS_UNSUCCESSFUL;

}else{

//解除引用

ObDereferenceObject(KbdDriverObject);

}

得到驱动对象之后,替换其分发函数就行了

操作比想象中的更加容易,之前我们都是给自己的驱动对象设置分发函数

而这里,要设置刚刚打开的键盘类驱动对象的分发函数

替换非法:

首先保存原有驱动对象的分发函数指针,否则无法恢复,导致系统无法处理键盘操作崩溃.

使用原子操作(InterlockedExchangePointer),保证设置新的函数指针不会被打断

//保存所有旧的分发函数指针

ULONG i;

PDRIVER_DISPATCH OldDispatchFunctions[IRP_MJ_MAXIMUM_FUNCTION+1];

//把所有的分发函数指针都替换成自己的

类驱动下的端口驱动

硬件-->i8042prt驱动-->KbdClass驱动-->过滤驱动-->操作系统-->应用程序

Kbdhid驱动

键盘驱动的主要工作:当有按键时-->引发中断,键盘驱动-->从端口读出按键的扫描码

最终交给在键盘设备栈栈顶等待的IRP,所以键盘驱动使用了两个循环使用的缓冲区

端口驱动 i8042prt 和 类驱动 kbdclass 都有一个自己的可以循环使用的缓冲区

单元结构都是 KEYBOARD_INPUT_DATA

端口驱动生成的设备有自定义的设备扩展,其中保存着一些指针和计数值,用来使用它的输入数据队列

包括 1.KEYBOARD_INPUT_DATA 类型 InputData DataIn DataOut DataEnd

2.ULONG 类型的 InputCount

InputData指针 指向输入数据队列的开头

DataEnd指针,指向结尾

DataIn指针,指向要进入队列的新数据,被放在队列中的位置

DataOut指针,指向要出队的数据,在队列开始的位置

InputCount值,为输入数据队列中数据的个数

在 KbdClass 中也是一样

键盘按键-->中断-->中断服务执行-->回调 端口驱动的回调函数 I8042KeyboardInterruptService

-->从端口读取扫描码-->放入键盘数据结构体-->放入i8042prt的输入数据队列

DataIn后退一格,InputCount值加1-->调用内核API KeInsertQueueDpc进行更多处理的延迟过程调用

-->(因为i8042prt扩展中保存着上层处理输入数据队列的回调函数入口地址,所以知道该调用谁)调用KbdClass的梳理输入数据的回调函数-->取走i8042prt的输入数据队列的数据-->DataOut后移,InputCount值相应减少

当气球要求读的数据大于或等于 i8042prt 的队列,去请求的处理函数直接从这里读,不适用 KbdClass 队列(大多数情况是都是这样的)

当小于 i8042prt 的队列数据时,取走相应大小的数据-->请求完成,剩余数据放入 kbdclass 的输入数据队列中,当应用层发来下一个读请求时,这个请求直接从 kbdclass读取数据,不需要等待.

怎么HOOK I8042KeyboardInterruptService ?需要定位这个函数的指针

HOOK键盘中断 IRQ INT

中断:使CPU得执行暂停,跳到中断处理函数,这个中断处理函数已经保存在内存中,函数地址保存在 IDT(中断描述符表)的表中,每个中断号在这个描述符表都有一个项.

硬件中断(IRQ) IOAIPC

IDT因为权限问题不能在应用层修改,但是在内核中却可行.IDT内存地址是不固定了,可以通过指令 sidt 获得

在多核CPU中,每个CPU都有自己的IDT,所以必须让代码在所有核心上都执行

直接用端口操作键盘