《Windows内核安全与驱动开发》阅读笔记 -- 索引目录
键盘过滤
1.如何绑定需要过滤的设备
键盘在底层存在一个驱动,即 Driverkbdclass,我们通过ObReferenceObjectByName这个非公开函数来获取这个驱动指针,
然后遍历该驱动下面的设备对象,见到一个绑定一个,这样就最终可以实现驱动的绑定。
下面我们使用工具DeviceTree来查看一下 这个 Driverkbdclass,之后我们就知道如何绑定了。
现在,我们使用这个API来获取设备对象指针
之后,我们就开始while()来遍历这个设备,如果存在就像之前那样来创建过滤设备来绑定该目标设备,这很好理解。
2. 拓展设备的应用
其实我们之前在“端口过滤”中,我们使用数组来存储每个设备对象,这其实完全没有必要。
我们可以直接来使用过滤设备中的拓展设备,这样我们在派遣函数中,可以直接拿到拓展设备,直接来处理即可。
下面其拓展设备的数据结构,我们来讲解一下有关重点内容:
下面对于拓展设备这很好理解,就是底层设备、目标设备、过滤设备三者直接全部存放在这里,这样做有什么好处呢?
我们下面来看看IRP的处理,我们可以直接调用IoCallDriver将其分发到底层设备,而不用像之前那样,先For循环判断是哪个设备,然后找对应设备。
这个逻辑要理解,可以大大减少你的代码量。
3. 无关IRP请求的处理
过滤设备要处理各种IRP,这代码处理了四种:通用、IRP_MJ_POWER、IRP_MJ_PNP、IRP_MJ_READ(处理键盘过滤的)
1)通用型
这很好理解,并不需要特殊处理,直接分发给下层设备即可。
2)IRP_MJ_POWER
这个电源的派发函数,需要调用专门的处理电源的派发函数 PoStartNextPowerIrp来进行处理。
3)IRP_MJ_PNP
这个是即插即用的设备,我们需要处理MinorFuncion为 IRP_MN_REMOVE_DEVICE时的情况,
此时就需要解除过滤设备的绑定,然后删除自己的过滤设备,这顿操作很好理解,当然,这个请求也是要派发下去的。
4. 读IRP请求的处理
现在我们来处理过滤中的读请求,键盘输入的本质就是通过驱动的读请求向键盘设备中读取相关信息,其操作如下:
如上图,我们现在要过滤请求,应该怎么处理呢?是直接像COM端口过滤一样直接在派发函数中过滤么?
这当然是不行的,因为我们在派发函数中,只是获得了一个读请求,而读的信息此时还没到达键盘设备自然不能获取。
因此我们现在要设置完成回调函数,其在派发函数中设置如下:
现在我们来看看其回调函数的核心代码逻辑是什么样的:
我们现在判断IRP的返回值,只有当返回成功时,才说明里面存在信息,直接从Buffer缓冲区读取就好,读取到的数据依次打印出来。
5. 处理的细节
1)gC2pKeyCount 绑定处理个数
我们在设置回调和完成回调时,依次 gC2pKeyCount++ 和 gC2pKeyCount--,为什么这么做呢?
因此当我们卸载设备时,我们要确保这里不存在还需要处理的消息,若gC2pKeyCount不为零,则需要继续延迟等待处理。
2)打开驱动对象时的驱动类型
这里我们使用一个未导出的内部变量,注意一定要用指针类型,否则一定概率获取不到对象。(这里不清楚原因,但是确实出现过这种错误)
