参考资料:
[1] 《Rootkits——Windows内核的安全与防护》
[2] 让一切输入都难逃法眼(驱动级键盘过滤钩子)
本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。
这里简单地列举了几个需要注意的地方:
[1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。
[2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会发送一个IRP(IRP_MJ_READ)到驱动的设备栈,键盘物理驱动收到这个IRP后会一直保持为pending状态。当有按键事件产生时,键盘物理驱动就会立刻完成这个IRP,使这个IRP携带按键数据,由驱动设备栈自底向上传送。这就是一次循环。
[3] 由于键盘过滤驱动的异步工作模式,所以在卸载时需要做一些特殊处理。如果直接卸载的话,当时必然还有一个irp在键盘物理驱动中处于pending状态,一旦其返回就会找不到我们的过滤驱动,就会BIOS。因而一个比较直观的想法是在unload时需要人为的按键,使那个处于pending状态的IRP立即返回。
[4] 第3点中所说的BIOS,其本质是该IRP返回后会调用我们的完成例程。当然,如果不设置完成例,即便是直接unload都不会出现问题。但键盘过滤驱动的意义,几乎都在这个完成例程上了,否则怎么实现监控。
[5] 这种方法有一点不好,就是需要用户按键才能正常卸载。而且当执行卸载功能开始知道用户按键,这期间系统处于阻塞状态。将在下一篇介绍“键盘过滤驱动之IRP模拟”,该方法就能够避免这个问题。
安装键盘过滤驱动之前,使用DriverTree观察如下图所示:
安装键盘过滤驱动后,观察如下图所示:
在keyboardclass0上attach了一个设备对象(即我们的上层键盘过滤驱动),其“Attached Device”域值0x82a3d2c0即为“DEV /Device/KEYBDFILTER_DeviceName”的设备对象。
过滤驱动实现过程的几个细节:
[1] 在IRP_MY_READ例程中实现设置完成例程,并增加IRP的pending数。
[2] 在完成例程中实现按键的监控,并减少IRP的pending数。
[3] 卸载时的阻塞,按键触发
下面就这个过滤驱动的具体实现:
typedef struct _DEVICE_EXTENSION {
PDEVICE_OBJECT pKeybdDevObject ;
ULONG uIrpPenddingCount ;
今天的文章网银键盘保护驱动导致蓝屏_键盘驱动冲突[通俗易懂]分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/58116.html