键盘过滤驱动之IRP劫持

转自：http://blog.csdn.net/beijixing2003/article/details/2527113

参考资料：
[1] 《Rootkits——Windows内核的安全与防护》
[2] 让一切输入都难逃法眼(驱动级键盘过滤钩子)

本文主要介绍通过劫持IRP（IRP_MJ_READ）实现键盘过滤驱动的基本方法。算是学习总结吧。

这里简单地列举了几个需要注意的地方：
[1] 由于需要动态卸载驱动程序，所以要挂接KeyboardClass0。
[2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作，首先会发送一个IRP（IRP_MJ_READ）到驱动的设备栈，键盘物理驱动收到这个IRP后会一直保持为pending状态。当有按键事件产生时，键盘物理驱动就会立刻完成这个IRP，使这个IRP携带按键数据，由驱动设备栈自底向上传送。这就是一次循环。
[3] 由于键盘过滤驱动的异步工作模式，所以在卸载时需要做一些特殊处理。如果直接卸载的话，当时必然还有一个irp在键盘物理驱动中处于pending状态，一旦其返回就会找不到我们的过滤驱动，就会BIOS。因而一个比较直观的想法是在unload时需要人为的按键，使那个处于pending状态的IRP立即返回。
[4] 第3点中所说的BIOS，其本质是该IRP返回后会调用我们的完成例程。当然，如果不设置完成例，即便是直接unload都不会出现问题。但键盘过滤驱动的意义，几乎都在这个完成例程上了，否则怎么实现监控。
[5] 这种方法有一点不好，就是需要用户按键才能正常卸载。而且当执行卸载功能开始知道用户按键，这期间系统处于阻塞状态。将在下一篇介绍“键盘过滤驱动之IRP模拟”，该方法就能够避免这个问题。

安装键盘过滤驱动之前，使用DriverTree观察如下图所示：


安装键盘过滤驱动后，观察如下图所示：


在keyboardclass0上attach了一个设备对象（即我们的上层键盘过滤驱动），其“Attached Device”域值0x82a3d2c0即为“DEV /Device/KEYBDFILTER_DeviceName”的设备对象。

过滤驱动实现过程的几个细节：
[1] 在IRP_MY_READ例程中实现设置完成例程，并增加IRP的pending数。
[2] 在完成例程中实现按键的监控，并减少IRP的pending数。
[3] 卸载时的阻塞，按键触发

下面就这个过滤驱动的具体实现：

[csharp] view plaincopy

1. typedef struct _DEVICE_EXTENSION {  
2.     PDEVICE_OBJECT  pKeybdDevObject ;  
3.     ULONG           uIrpPenddingCount ;  
4.     BOOLEAN         bAttached ;  
5. } DEVICE_EXTENSION, *PDEVICE_EXTENSION ;  
6.   
7. NTSTATUS KEYBDFILTER_DispatchCreateClose(  
8.     IN PDEVICE_OBJECT       DeviceObject,  
9.     IN PIRP                 Irp  
10.     )  
11. {  
12.     NTSTATUS status = STATUS_SUCCESS;  
13.     Irp->IoStatus.Status = status;  
14.     Irp->IoStatus.Information = 0;  
15.     IoCompleteRequest(Irp, IO_NO_INCREMENT);  
16.     return status;  
17. }  
18.   
19. NTSTATUS KEYBDFILTER_DispatchDeviceControl(  
20.     IN PDEVICE_OBJECT       DeviceObject,  
21.     IN PIRP                 Irp  
22.     )  
23. {  
24.     NTSTATUS status = STATUS_SUCCESS;  
25.     PIO_STACK_LOCATION irpSp = IoGetCurrentIrpStackLocation(Irp);  
26.   
27.     switch(irpSp->Parameters.DeviceIoControl.IoControlCode)  
28.     {  
29.     case IOCTL_KEYBDFILTER_OPERATION:  
30.         // status = SomeHandlerFunction(irpSp);  
31.         break;  
32.     default:  
33.         Irp->IoStatus.Status = STATUS_INVALID_DEVICE_REQUEST;  
34.         Irp->IoStatus.Information = 0;  
35.         break;  
36.     }  
37.   
38.     status = Irp->IoStatus.Status;  
39.     IoCompleteRequest(Irp, IO_NO_INCREMENT);  
40.     return status;  
41. }  
42.   
43. NTSTATUS OnReadCompletion(IN PDEVICE_OBJECT theDeviceObject,IN PIRP pIrp,IN PVOID Context)  
44. {  
45.     // IRQL = DISPATCH_LEVEL，不允许文件记录操作  
46.   
47.     PKEYBOARD_INPUT_DATA keys;  
48.     int numKeys;  
49.     int i;  
50.     PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)theDeviceObject->DeviceExtension;  
51.   
52.     if ( pIrp->IoStatus.Status == STATUS_SUCCESS )  
53.     {  
54.         keys=(PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;  
55.         numKeys=pIrp->IoStatus.Information/sizeof(KEYBOARD_INPUT_DATA);  
56.         for( i = 0; i < numKeys ; i++ )  
57.         {  
58.             if ( keys->Flags == KEY_MAKE )  
59.                 DbgPrint ( "ScanCode = %d Press", keys->MakeCode ) ;  
60.             else if ( keys->Flags == KEY_BREAK )   
61.                 DbgPrint ( "ScanCode = %d Release", keys->MakeCode ) ;  
62.         }  
63.   
64.     }  
65.     if(pIrp->PendingReturned)  
66.         IoMarkIrpPending(pIrp);  
67.   
68.     pdx->uIrpPenddingCount --;  
69.     return pIrp->IoStatus.Status;  
70. }  
71.   
72. NTSTATUS KEYBDFILTER_DispatchRead (  
73.     IN PDEVICE_OBJECT       DeviceObject,  
74.     IN PIRP                 Irp  
75.     )  
76. {  
77.     PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension ;  
78.   
79.     IoCopyCurrentIrpStackLocationToNext(Irp);  
80.   
81.     // 设置完成例程  
82.     IoSetCompletionRoutine ( Irp, OnReadCompletion,DeviceObject,TRUE,TRUE,TRUE);  
83.   
84.     pdx->uIrpPenddingCount ++;  
85.   
86.     return IoCallDriver ( pdx->pKeybdDevObject, Irp ) ;  
87. }  
88.   
89. VOID KEYBDFILTER_DriverUnload(  
90.                               IN PDRIVER_OBJECT     DriverObject  
91.                               )  
92. {  
93.     KTIMER              kTimer;  
94.     LARGE_INTEGER       timeout;          
95.     PDEVICE_OBJECT      pDevObj = pdoGlobalDrvObj->DeviceObject;  
96.     PDEVICE_EXTENSION   pdx = (PDEVICE_EXTENSION) pDevObj->DeviceExtension;  
97.   
98.     // 解除过滤驱动，释放调用者设备对象与物理驱动之间的绑定关系  
99.     // 这样以后的IRP就不会经过这个过滤驱动，irp的挂起数目就不会增加  
100.     if ( pdx->bAttached )  
101.     {  
102.         IoDetachDevice ( pdx->pKeybdDevObject ) ;  
103.         pdx->bAttached = FALSE ;  
104.     }  
105.   
106.     timeout.QuadPart = 1000000; //1s  
107.     KeInitializeTimer(&kTimer);  
108.   
109.     DbgPrint ( "Waiting for unload! IrpPenddingCount=%d/n", pdx->uIrpPenddingCount ) ;  
110.   
111.     // 等待未处理的IRP，  
112.     while ( pdx->uIrpPenddingCount > 0 )  
113.     {  
114.         KeSetTimer ( &kTimer, timeout, NULL ) ;  
115.         KeWaitForSingleObject ( &kTimer, Executive, KernelMode, FALSE, NULL ) ;  
116.     }  
117.   
118.     DbgPrint ( "Not any pendding irps!/n" ) ;  
119.   
120.     IoDeleteSymbolicLink ( &usSymlinkName ) ;  
121.     IoDeleteDevice ( pDevObj );  
122. }  
123.   
124. NTSTATUS HookKeyboard ( IN PDEVICE_OBJECT pDevObject )  
125. {  
126.     ///IRQL = passive level  
127.   
128.     //建立过滤驱动对象  
129.     PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)pDevObject->DeviceExtension ;  
130.     UNICODE_STRING uKeyboardDevice;  
131.   
132.     // 设置新设备的标志与底层键盘设备标记相同  
133.     // 在DriverEntry例程中创建的设备对象，并不需要必须清除DO_DEVICE_INITIALIZING标识，  
134.     // 这是因为这个工作将会由I/O管理器自动完成。  
135.     // 然而，如果创建了其它设备对象，则需要进行该清除工作。  
136.     // 对DEVICE_EXTENSION结构清0  
137.     pDevObject->Flags = pDevObject->Flags | DO_BUFFERED_IO | DO_POWER_PAGABLE ;  
138.     pDevObject->Flags = pDevObject->Flags & ~DO_DEVICE_INITIALIZING;  
139.       
140.     RtlZeroMemory ( pDevObject->DeviceExtension,sizeof(DEVICE_EXTENSION));  
141.     pdx->bAttached = TRUE ;  
142.   
143.     //把keyboardClass0转换成一个UNICODE字符串  
144.     RtlInitUnicodeString ( &uKeyboardDevice, L"//Device//keyboardClass0" ) ;  
145.   
146.     //准备工作完成后放置过滤钩子  
147.     IoAttachDevice ( pDevObject, &uKeyboardDevice, &pdx->pKeybdDevObject);  
148.       
149.     // 错误：不需要释放  
150.     // 释放UNICODE字符串  
151.     // RtlFreeUnicodeString(&uKeyboardDevice);  
152.     return STATUS_SUCCESS;  
153. }  
154.  
155. #ifdef __cplusplus  
156. extern "C" {  
157. #endif  
158. NTSTATUS DriverEntry(  
159.     IN OUT PDRIVER_OBJECT   DriverObject,  
160.     IN PUNICODE_STRING      RegistryPath  
161.     )  
162. {  
163.     PDEVICE_OBJECT pdoDeviceObj = 0;  
164.     NTSTATUS status = STATUS_UNSUCCESSFUL;  
165.     pdoGlobalDrvObj = DriverObject;  
166.   
167.     // Create the device object.  
168.     if(!NT_SUCCESS(status = IoCreateDevice(  
169.         DriverObject,  
170.         sizeof(DEVICE_EXTENSION),  
171.         &usDeviceName,  
172.         FILE_DEVICE_UNKNOWN,  
173.         FILE_DEVICE_SECURE_OPEN,  
174.         FALSE,  
175.         &pdoDeviceObj  
176.         )))  
177.     {  
178.         // Bail out (implicitly forces the driver to unload).  
179.         return status;  
180.     };  
181.   
182.     // Now create the respective symbolic link object  
183.     if(!NT_SUCCESS(status = IoCreateSymbolicLink(  
184.         &usSymlinkName,  
185.         &usDeviceName  
186.         )))  
187.     {  
188.         IoDeleteDevice(pdoDeviceObj);  
189.         return status;  
190.     }  
191.   
192.     // NOTE: You need not provide your own implementation for any major function that  
193.     //       you do not want to handle. I have seen code using DDKWizard that left the  
194.     //       *empty* dispatch routines intact. This is not necessary at all!  
195.     DriverObject->MajorFunction[IRP_MJ_CREATE] =  
196.     DriverObject->MajorFunction[IRP_MJ_CLOSE] = KEYBDFILTER_DispatchCreateClose;  
197.     DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KEYBDFILTER_DispatchDeviceControl;  
198.     DriverObject->DriverUnload = KEYBDFILTER_DriverUnload;  
199.   
200.     DriverObject->MajorFunction[IRP_MJ_READ] = KEYBDFILTER_DispatchRead ;  
201.   
202.   
203.     // 安装键盘过滤驱动  
204.     HookKeyboard ( pdoDeviceObj ) ;  
205.       
206.   
207.     return STATUS_SUCCESS;  
208. }  
209. #ifdef __cplusplus  
210. }; // extern "C"  
211. #endif  

DEMO在debugview中的输出如下形式：
00000000 0.00000000 ScanCode = 32 Press 
00000001 0.10264880 ScanCode = 32 Release 
00000002 0.28651714 ScanCode = 31 Press 
00000003 0.40792084 ScanCode = 31 Release 
00000004 0.56972045 ScanCode = 30 Press 
00000005 0.67448908 ScanCode = 30 Release 
00000006 2.90813041 ScanCode = 29 Press 
00000007 3.29480147 ScanCode = 29 Release 
00000008 5.57056046 ScanCode = 44 Press 
00000009 6.07932949 ScanCode = 44 Press 
00000010 6.10914564 ScanCode = 44 Press 
00000011 6.16350174 ScanCode = 44 Press 
00000012 6.20665026 ScanCode = 44 Press 
00000013 6.24940920 ScanCode = 44 Press 
00000014 6.28966284 ScanCode = 44 Press 
00000015 6.33540249 ScanCode = 44 Press 
00000016 6.35684252 ScanCode = 44 Release 

最后的44，有多个press+1个release组成，表示按下一段时间后才释放