KARLANN

先上链接

前言：

之前搞过一个基于intel-vt的IO端口的键盘记录器，不过只能支持PS/2键盘，而且有点杀鸡焉用牛刀的感觉。最近在《Windows内核安全与驱动开发》的启发下，实现了一个基于IRP Hook的键盘记录器，书中的方法估计早就被防的差不多了，所以使用了不同的方式Hook IRP，算是进阶版吧，更难被察觉。实测可以过控件保护以及驱动保护。

演示：

获取某即时通讯软件的键盘输入

原理：

简单来说，键盘的输入，是通过键盘驱动（比如kbdhid.sys）通过各种方式获取到键盘硬件的数据输入，然后键盘驱动调用初始化时保存的kbdclass.sys的回调函数KeyboardClassServiceCallback，将键盘数据发送到kbdclass.sys，最后由kbdclass.sys将数据填充到之前Pending的IRP，将IRP返回到Win32k（或者保存到缓冲区内，等待IRP的到来）。

但要怎么拦截这些IRP呢，书中可以将驱动挂载到kbdclass驱动设备上，作为设备过滤驱动拦截IRP，不过这种方法太明显了。所以我选择将Win32k驱动用于读键盘数据的hKeyboard->FileObject->DeviceObject替换为Poc驱动的DeviceObject，由Poc驱动充当中间层驱动，过滤Win32k和Kbdclass的IRP。

       PIRP
      
       KeyboardClassDequeueRead(
      
       _In_ PCHAR DeviceExtension
      
       )
      
       /
       *
       +
       +
      
       Routine Description:
      
       Dequeues the 
       next 
       available read irp regardless of FileObject
      
       Assumptions:
      
       DeviceExtension
       -
       >SpinLock 
       is 
       already held (so no further sync 
       is 
       required).
      
       -
       -
       *
       /
      
       {
      
       ASSERT(NULL !
       = 
       DeviceExtension);
      
       PIRP nextIrp 
       = 
       NULL;
      
       LIST_ENTRY
       * 
       ReadQueue 
       = 
       (LIST_ENTRY
       *
       )(DeviceExtension 
       + 
       READ_QUEUE_OFFSET_DE);
      
       while 
       (!nextIrp && !IsListEmpty(ReadQueue)) {
      
       PDRIVER_CANCEL oldCancelRoutine;
      
       PLIST_ENTRY listEntry 
       = 
       RemoveHeadList(ReadQueue);
      
       /
       /
      
       /
       / 
       Get the 
       next 
       IRP off the queue 
       and 
       clear the cancel routine
      
       /
       /
      
       nextIrp 
       = 
       CONTAINING_RECORD(listEntry, IRP, Tail.Overlay.ListEntry);
      
       oldCancelRoutine 
       = 
       IoSetCancelRoutine(nextIrp, NULL);
      
       /
       /
      
       /
       / 
       IoCancelIrp() could have just been called on this IRP.
      
       /
       / 
       What we're interested 
       in 
       is 
       not 
       whether IoCancelIrp() was called
      
       /
       / 
       (ie, nextIrp
       -
       >Cancel 
       is 
       set
       ), but whether IoCancelIrp() called (
       or
      
       /
       / 
       is 
       about to call) our cancel routine. To check that, check the result
      
       /
       / 
       of the test
       -
       and
       -
       set 
       macro IoSetCancelRoutine.
      
       /
       /
      
       if 
       (oldCancelRoutine) {
      
       /
       /
      
       /
       /  
       Cancel routine 
       not 
       called 
       for 
       this IRP.  Return this IRP.
      
       /
       /
      
       /
       *
       ASSERT(oldCancelRoutine 
       =
       = 
       KeyboardClassCancel);
       *
       /
      
       }
      
       else 
       {
      
       /
       /
      
       /
       / 
       This IRP was just cancelled 
       and 
       the cancel routine was (
       or 
       will
      
       /
       / 
       be) called. The cancel routine will complete this IRP as soon as
      
       /
       / 
       we drop the spinlock. So don't do anything with the IRP.
      
       /
       /
      
       /
       / 
       Also, the cancel routine will 
       try 
       to dequeue the IRP, so make the
      
       /
       / 
       IRP's listEntry point to itself.
      
       /
       /
      
       /
       /
       ASSERT(nextIrp
       -
       >Cancel);
      
       InitializeListHead(&nextIrp
       -
       >Tail.Overlay.ListEntry);
      
       nextIrp 
       = 
       NULL;
      
       }
      
       }
      
       return 
       nextIrp;
      
       }

另外为支持PNP，Poc驱动会在IoCancelIrp时将FileObject->DeviceObject还原，以便于之后设备卸载。
其他的功能包括，使用libwsk库，把它的C++库做了一些调整，实现了UDP传输键盘数据的功能，以及按键映射的功能，另外增加了对x86的支持。

建议在Windows 7 x86/x64 6.1（7601）SP1 - Windows 10 x86/x64 21H1（19043.1889）环境运行

       已测试系统版本:                  
       0903        
       0905        
       0906
      

       Windows 
       7  
       x64 
       6.1
       (
       7601
       ) SP1                    PASS
      

       Windows 
       8  
       x64 
       6.2
       (
       9200
       )        NOTESTED    PASS        PASS
      

       Windows 
       8.1x64 
       6.3
       (
       9600
       )        PASS        NOTESTED    NT
      

       Windows 
       10 
       x64 
       1511
       (
       10586.164
       )  PASS        PASS        PASS
      

       Windows 
       10 
       x64 
       1607
       (
       14393.447
       )  PASS        PASS        PASS
      

       Windows 
       10 
       x64 
       1703
       (
       15063.0
       )    PASS        PASS        NT
      

       Windows 
       10 
       x64 
       1709
       (
       16299.15
       )   PASS        PASS        PASS
      

       Windows 
       10 
       x64 
       1809
       (
       17763.2928
       ) PASS        PASS        PASS
      

       Windows 
       10 
       x64 
       21H1
       (
       19043.1889
       ) PASS        PASS        PASS
      

        
      

       Windows 
       7  
       x86 
       6.1
       (
       7601
       ) SP1                    PASS
      

       Windows 
       10 
       x86 
       1909
       (
       18363.592
       )                    PASS
      

代码放在github了

更多【谁会不喜欢一个Windows内核键盘记录器呢（详解）】相关视频教程：www.yxfzedu.com

编程技术-谁会不喜欢一个Windows内核键盘记录器呢（详解）

KARLANN

前言：

演示：

原理：

相关文章推荐

友情链接

课程目录

技术交流QQ群