[求助]kbdclass键盘过滤无法过滤首次按键-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
lookzo 雪币： 6 活跃值： (1523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 534 粉丝 2 关注私信	lookzo 2 楼第一个没过滤到，很奇怪的 2015-4-14 17:29 0
yangaijia 雪币： 50 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	yangaijia 3 楼键盘一直处于等待获取按键的状态吧要么你先给它一个按键满足之前那一次获取后面的请求就能过滤到了嘛菜鸟愚见不知道能不能行的通 2015-4-14 17:52 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 4 楼分析后流程是这样的：没有按键的时候系统就会发送一个irp到底层驱动去请求hid设备的键入，如果没有键入这个irp会一直被设置成pending，直到最后有键入按键信息才会被底层驱动完成该irp，类似监听的概念。也就是说在我们没加载键盘过滤驱动的时候这个irp已经被发出了，只是没有按键键入这个irp一直是pending，等加载过滤驱动后，有按键键入时这个irp被完成了，但我们没机会设置这个irp的完成函数。 2015-4-14 17:52 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 5 楼我想过这个解决办法，但我现在过滤的是条码扫描枪，怎么模拟扫描枪的按键啊。 2015-4-14 17:53 0
fragileeye 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	fragileeye 6 楼读取弹起的键。 2015-4-14 18:37 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 7 楼需求需要屏蔽按键，所以必须把按下给弄出来。 2015-4-14 18:46 0
阿耿雪币： 34 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	阿耿 8 楼楼主解决这个问题了吗，求教 2015-8-13 20:31 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 9 楼解决了，找到那个挂起的irp然后取消这个IRP。 2015-11-25 11:08 0
阿耿雪币： 34 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	阿耿 10 楼楼主，求具体的解决方法，求教了 2015-11-25 11:49 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 11 楼在过滤这个kbdclass设备之前先找到子系统发到这个设备上的read irp，具体查找流程是：枚举进程找到csrss进程-->枚举该进程的线程中的irp列表-->找到发到你要过滤设备的irp（这个irp一定是pending状态，因为当前没有按键触发），找到这个irp后绑定设备取消这个irp，子系统会马上再发一个read irp到你的设备上，这样就可以了。 2015-11-25 13:12 0
IamHuskar 雪币： 1515 活跃值： (6002) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 78 关注私信	IamHuskar 4 12 楼 IRP应该挂线程未完成的IRP链表里面了，你是用了未导出的THREAD结构定义去得到链表然后取得IRP吗 2015-11-25 13:45 0
longloo 雪币： 4984 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	longloo 13 楼学习了，正好碰到这个问题 2016-4-21 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
lookzo 雪币： 6 活跃值： (1523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 534 粉丝 2 关注私信	lookzo 2 楼第一个没过滤到，很奇怪的 2015-4-14 17:29 0
yangaijia 雪币： 50 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	yangaijia 3 楼键盘一直处于等待获取按键的状态吧要么你先给它一个按键满足之前那一次获取后面的请求就能过滤到了嘛菜鸟愚见不知道能不能行的通 2015-4-14 17:52 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 4 楼分析后流程是这样的：没有按键的时候系统就会发送一个irp到底层驱动去请求hid设备的键入，如果没有键入这个irp会一直被设置成pending，直到最后有键入按键信息才会被底层驱动完成该irp，类似监听的概念。也就是说在我们没加载键盘过滤驱动的时候这个irp已经被发出了，只是没有按键键入这个irp一直是pending，等加载过滤驱动后，有按键键入时这个irp被完成了，但我们没机会设置这个irp的完成函数。 2015-4-14 17:52 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 5 楼我想过这个解决办法，但我现在过滤的是条码扫描枪，怎么模拟扫描枪的按键啊。 2015-4-14 17:53 0
fragileeye 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	fragileeye 6 楼读取弹起的键。 2015-4-14 18:37 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 7 楼需求需要屏蔽按键，所以必须把按下给弄出来。 2015-4-14 18:46 0
阿耿雪币： 34 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	阿耿 8 楼楼主解决这个问题了吗，求教 2015-8-13 20:31 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 9 楼解决了，找到那个挂起的irp然后取消这个IRP。 2015-11-25 11:08 0
阿耿雪币： 34 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	阿耿 10 楼楼主，求具体的解决方法，求教了 2015-11-25 11:49 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 11 楼在过滤这个kbdclass设备之前先找到子系统发到这个设备上的read irp，具体查找流程是：枚举进程找到csrss进程-->枚举该进程的线程中的irp列表-->找到发到你要过滤设备的irp（这个irp一定是pending状态，因为当前没有按键触发），找到这个irp后绑定设备取消这个irp，子系统会马上再发一个read irp到你的设备上，这样就可以了。 2015-11-25 13:12 0
IamHuskar 雪币： 1515 活跃值： (6002) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 78 关注私信	IamHuskar 4 12 楼 IRP应该挂线程未完成的IRP链表里面了，你是用了未导出的THREAD结构定义去得到链表然后取得IRP吗 2015-11-25 13:45 0
longloo 雪币： 4984 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	longloo 13 楼学习了，正好碰到这个问题 2016-4-21 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复