第三部分 R0 to R3
这部分有教主非常精彩和实用的分析,我就不瞎说了。
r3 to r0 是常规系统调用倒过来
中断或者sysenter的东西:
NTSTATUS
KeUserModeCallback (
INULONGApiNumber,
INPVOIDInputBuffer,
INULONGInputLength,
OUTPVOID *OutputBuffer,
INPULONGOutputLength
)
这个函数设置好栈的布局后调用KiCallUserMode
KiCallUserMode调用_KiServiceExit
返回到ring3的_KeUserCallbackDispatcher
KeUserCallbackDispatcher从_PEB.KernelCallbackTable取得函数,执行,NtCallbackReturn返回
_PEB.KernelCallbackTable是函数表,ApiNumber是服务调用号
这些函数传递的参数可以参考windows_2000_source_code\win2k\private\ntos\w32\ntuser\inc\ntcb.h
不同版本不一定一样~
kd>dds 0x77d12970
77d12970 77d27f3c USER32!__fnCOPYDATA
77d12974 77d587b3USER32!__fnCOPYGLOBALDATA
77d12978 77d28ec8 USER32!__fnDWORD
77d1297c 77d2b149 USER32!__fnNCDESTROY
77d12980 77d5876c USER32!__fnDWORDOPTINLPMSG
77d12984 77d5896d USER32!__fnINOUTDRAG
77d12988 77d3b84d USER32!__fnGETTEXTLENGTHS
等等。。。
这个地方可以hook,XT也提供了检测这个位置的功能,不过hook这里的样本倒是没见过~这个字段在应用层是只读的~~
Hook wndproc的话倒是可以直接hook __fnINOUTLPPOINT5。不过太麻烦了,只是参数过滤的话就在KeUserModeCallback过滤了。
我看到过直接替换windows object里面wndproc参数的东东。
kd> k
ChildEBP RetAddr
0012f738 77d18734 4may!WndProc+0x18[C:\Users\shendi\Desktop\梅亚飞监视u盘拷贝ppt_src\4may_src\4may.cpp @167]
0012f764 77d18816USER32!InternalCallWinProc+0x28
0012f7cc 77d28ea0USER32!UserCallWinProcCheckWow+0x150
0012f820 77d2d08aUSER32!DispatchClientMessage+0xa3
0012f848 7c92e453 USER32!__fnINOUTLPPOINT5+0x27
0012f848 805026fcntdll!KiUserCallbackDispatcher+0x13
b162b920 805a2d55 nt!KiCallUserMode+0x4
b162b97c bf83b414 nt!KeUserModeCallback+0x87
b162ba2c bf813f04 win32k!SfnINOUTLPPOINT5+0xbf
b162ba74 bf8140f6win32k!xxxSendMessageToClient+0x176
b162bac0 bf80ec99 win32k!xxxSendMessageTimeout+0x1a6
b162bae4 bf83b194 win32k!xxxSendMessage+0x1b
b162bb44 bf826c4cwin32k!xxxInitSendValidateMinMaxInfo+0x1b9
b162bb88 bf83a93c win32k!xxxAdjustSize+0x22
b162bc6c bf83967e win32k!xxxCreateWindowEx+0x8fe
b162bd20 8054267c win32k!NtUserCreateWindowEx+0x1c1
b162bd20 7c92e4f4 nt!KiFastCallEntry+0xfc
0012f848 7c92e453 ntdll!KiFastSystemCallRet
0012f890 77d2e389ntdll!KiUserCallbackDispatcher+0x13
0012fd34 77d2e442USER32!NtUserCreateWindowEx+0xc
0012fde0 77d2e4dc USER32!_CreateWindowEx+0x1ed
0012fe1c 00401451 USER32!CreateWindowExA+0x33
0012fea4 004010e8 4may!InitInstance+0x51[C:\Users\shendi\Desktop\梅亚飞监视u盘拷贝ppt_src\4may_src\4may.cpp @142]
0012ff20 00401fe3 4may!WinMain+0x58[C:\Users\shendi\Desktop\梅亚飞监视u盘拷贝ppt_src\4may_src\4may.cpp @48]
0012ffc0 7c817077 4may!WinMainCRTStartup+0x1b3[crtexe.c @ 330]
0012fff0 00000000 kernel32!BaseProcessStart+0x23
第四部分 键盘鼠标输入
中断服务把键盘码发给键盘驱动,csrss开一个线程win32k!RawInput循环read irp给键盘驱动~
ROS最新的0.3.14 csrss调用NtUserCallOneParam,进入内核线程RawInputThreadMain,应该说这是更接近于windows的
看一下这个线程做了什么,键盘按键操作中的时候会pending,等待pending的操作没贴出来
for(;;)
{
Status =OpenInputDevice(&ghMouseDevice, &pMouDevice, L"\\Device\\PointerClass0");
Status =OpenInputDevice(&ghKeyboardDevice, &pKbdDevice, L"\\Device\\KeyboardClass0");
MouStatus= ZwReadFile(ghMouseDevice,
NULL,
NULL,
NULL,
&MouIosb,
&MouseInput,
sizeof(MOUSE_INPUT_DATA),
&ByteOffset,
NULL);
KbdStatus= ZwReadFile(ghKeyboardDevice,
NULL,
NULL,
NULL,
&KbdIosb,
&KeyInput,
sizeof(KEYBOARD_INPUT_DATA),
&ByteOffset,
NULL);
UserProcessMouseInput(&MouseInput);
UserProcessKeyboardInput(&KeyInput);
}
KEYBOARD_INPUT_DATA这个结构是键盘驱动上传数据标准结构
UserProcessKeyboardInput这个函数
//得到目前的焦点,这个实在desktop的结构里
pFocusQueue= IntGetFocusMessageQueue();
if (pFocusQueue)
{
pFocusThread= pFocusQueue->Thread;
if(pFocusThread&&pFocusThread->Tcb.Win32Thread)
pKl= ((PTHREADINFO)pFocusThread->Tcb.Win32Thread)->KeyboardLayout;
}
//键盘布局
if (!pKl)
pKl= W32kGetDefaultKeyLayout();
将扫描码转换成虚拟按键,最后调用
UserSendKeyboardInput(&KbdInput,FALSE);
最终ProcessKeyEvent在处理完hook以及其他特殊情况以后
MsqPostMessage(pFocusQueue,&Msg, TRUE, QS_KEY);发送给焦点窗口
所以说要拦截键盘消息太底层就要自己处理扫描码了~~当然也不是不行
软件可以模拟键盘输入,就是NtUserSendInput啦
类别: