[转载]支持 PS/2 与 USB 的键盘过滤驱动(可卸载) -- by sinister

bini

Author:  sinister
Email:   [email]sinister@whitecell.org[/email]
  B4 q6 o' \4 u# bHomepage:[url]http://www.whitecell.org[/url]
Date:    2007-02-26
) ~4 H% I5 u% u' d1 m
. o3 w% S* v. G
# O& ^, ~0 K" G) V/*******************************************************************
9 S* f; b/ a1 E7 b8 D" }
这个键盘过滤驱动是一个定时锁定计算机程序的功能部分，以前 lgx
& [6 H, q1 D; D9 f2 W3 b# P写过一个 linux 版，现在我们需要实现一个 windows 版。这部分的
功能要求如下：

1、强制锁定键盘/鼠标。
5 e6 _$ e; b! n! ~$ `4 Z% C2、可动态加/解锁
) a9 l4 V& T1 m, a. Y3、兼容所有 NT 系列的操作系统。

就这个需求而言，能马上能想到的就有7，8种方案，这些方案可以说都能够实
现，但如何更合理，更稳定、更彻底的实现，如何尽量少的消耗系统资源，如
何保证其兼容性，等一系列问题不得不让我们去重新评估这几种方法。首先在
: J8 R  ]8 u+ d  F1 o上层实现，一是怕被饶过，二是怕调用频繁影响系统性能。在底层实现，一是
怕考虑不周有兼容性问题，二是怕过多使用未公开方法导致系统不稳定。下面
就来看一下我想到的几种实现方法：

1、全局键盘/鼠标钩子
2、BlockInput() API
3、使用 setupapi 进行控制
' n7 ?# n$ |, z! j4、全局键盘/鼠标钩子+远线程插入 WINLOGON 进程屏蔽 CTRL+AL+DEL
5、拦截 win23k!RawInputThread() 函数
6、修改 DDK 中自带的 kbfilter 的键盘(Port Driver)过滤驱动
1 L% N# \8 Q3 q. H7 M( Y; W% J; s7、拦截 kdbclass 驱动的 driver dispatch routine
8、实现一个 PS/2 与 USB 键盘过滤驱动


% B& |+ {# s2 r6 F9 M我们先看一下以上这些方案的实用性与通用性。第1，2套方案不在考虑
之内了，因为有办法解锁，屏蔽不了 CTRL+ALT+DEL 组合键。第3套方
案经过我的测试使用 Keyboard 的 CLASSID 不是什么环境都好使，存在
/ t4 H4 m( _6 M0 W兼容性的问题。第4套方案系统效率会大大降低，而且存在很多不稳定因
素，对于全局钩子这种东西我一直很排斥。第5套方案，同样存在兼容性
问题和不稳定因素。第6套方案看似完美，但无法实现动态卸载，无法卸
$ b( I$ w2 h; g: c2 V载就意味着你需要一个开关来控制是否锁定，这样还要与应用层通讯，我
  M7 C  `. [. D+ A- F8 h的目的是不让应用层与驱动有任何交互。且使用 WDM 形式这种安装起来
+ V- e8 e( m) l! b9 G/ x; f也很麻烦，要么 INF 要么自己 setupapi，这都不是我想看到的，还有如
5 B. i, W% I3 V9 l" A8 p6 h  e% |果仅为实现这么一个功能，就让一个核心驱动一直存在系统中的话，我有
障碍。第7套方案看似实现起来很简单，其实有很多问题。如仅是拦截
' I- y3 x, p7 Q# pIRP_MJ_READ 并粗暴的返回拒绝后，系统无法恢复到初始状态。且对于
2 X) R; g+ o/ r! }+ r) ?; NUSB 键盘存在兼容性问题。那么最后只有自己实现一个 PS/2 与 USB 键
) i9 Z. \+ p' ?4 i4 I6 i: m* A盘过滤驱动了，既然要实现这么一个驱动，那么就必须能实现到第6套方
+ H/ K! Y) L: ]! [4 N$ m案的全部功能且不存在它所带来的问题，否则就没有什么意义了。


* Y3 Z3 I' u' M我们都知道实现一个可直接使用 SERVICE API 来动态装载的 KMD 键盘过
4 W& J/ v* Z. W" l+ f# U% x$ u8 ?滤驱动，首先需要先 ATTACH 到 \\Device\\KeyboardClass0 设备上再进
行按键过滤。但如果仅 ATTACH 这个设备的话，会存在很多问题，那就是
  O0 f5 H6 L2 q4 y9 k只能过滤到 PS/2 键盘，而对于使用 USB 键盘的机器毫无作用。现在越
来越多的品牌机都预配的是 USB 键盘(如：DELL)。大家可能会想，从
KeyboardClass0 一直到 N 都 ATTACH 不就可以了么？总有一个是 USB
键盘设备，经过实践这是不可行的，只要是 USB 键盘设备的话，在使用
1 X6 D( h, K$ {6 W0 h2 }! C9 YIoGetDeviceObjectPointer() 函数从设备名得到设备对象都会获取失败，
我还曾尝试使用 USB 键盘设备名来转换，还是一样失败。还有一个问题
9 g; B) u- K% F2 n6 m. M5 r就是 USB 键盘设备不是都有名称的，即使有它的名称也都是动态生成的
而不是固定的。那么这就带来了一个问题，既然系统提供的函数无法使
用，且我们又是为了动态安装/卸载，使用的是 KMD 类型驱动，无法通
  F& _8 X4 t5 c9 f) g过 AddDevice 例程来获得 USB 键盘的设备对象进行挂接。那么如何来
1 I& V/ A! Y8 B6 C* }" `0 o6 `屏蔽 USB 键盘按键？要达到这个目的只有自己分析下 USB 协议栈，通
过使用 DriverTree 观察发现，所有 USB 外设都挂在了 \Driver\hidusb
上面，USB 键盘驱动名为 \Driver\kbdhid，而它则是 \Driver\kbdhid
的一个 FilterDriver，且这个 \Driver\kbdhid 没有设备名称，也就意
4 g% ~8 b7 C+ c3 b- u; f) L' h% M味着，我们无法 IoGetDeviceObjectPointer() 得到设备对象并 ATTACH。
* d( e$ s+ L8 K! D! u& P& ^经过对多个系统多台使用 USB 键盘机器的分析，可以确定让我使用它们
2 M- E7 E7 B2 O/ F5 d* w/ a来作为得到 USB 键盘设备的依据。（这里仅是对 USB 键盘设备很功利
的分析，如果想了解 WINDOWS 的 USB 设备栈如何组建，请阅读 tiamo
的 《Windows 的 USB 体系结构》。在此向所有公开研究成果的人致
/ y$ p& F9 A4 d+ |! I" A敬！）有了这些依据，下面就没什么好说的了，自己遍历 USB 设备栈，
根据驱动名称获得 USB 设备对象，然后 ATTACH，过滤按键。具体流程
' E& |5 z7 b7 s3 z' z1 m见下面代码。
  Q$ }+ I3 n/ M( B9 s: ^/ v
这里有必要说下动态卸载，我尝试了两种方式，一种是在 UNLOAD 例程
里直接取消 IRP，这种方法在 W2K 系统下，无论是 PS/2 还是 USB 键
1 ~' n7 ^- F8 M. v! e盘都可以很好的实现。但在 XP/2003 系统上则无法成功，在 XP/2003
; J2 M6 u! |' G8 |) `# A上暂时使用一个 IRP 计数器，在 UNLOAD 例程里判断如果还有一个没有
/ m2 g0 i  a, [1 m" s% l1 g完成的 IRP 则等待，这样的话，需要在 UNLOAD 后用户按下任意键才可
继续，虽然能够安全卸载但还需要一次用户介入。考虑实现的仅是一个
# W7 [; E$ D" j3 M7 t! [/ Q% r锁定功能，这样也算是能够忍受了。以后考虑在驱动中直接模拟用户按
键来实现，当然这种按键要有通用性和兼容性，支持 PS/2 与 USB 键盘。
; j. T5 g; n& {8 O

完成了上述工作后看起来好象完美了，其实不然，当你屏蔽了当前使用
0 q5 E' y( J2 L3 M- ]* \的键盘时别忘了还可以再插入一个 USB 键盘，而后续插入的这个键盘是
: ~; u) D6 X( G9 l/ \可以被识别的。这就需要我们处理 IRP_MJ_PNP 选项，对其中我们有兴趣
的 IRP_MN_XXX 做相应处理，可以处理 IRP_MN_START_DEVICE，在这时我
* [1 n6 _0 y- c们动态挂接。还可以处理其他的 IRP，索性返回错误，让识别失效。但我
们的驱动是 KMD 类型，只要加上一句对 DriverObject->DriverExtension
->AddDevice 的赋值操作则无法直接使用 SERVICE API 来动态加载了。
. u  T6 M$ h, ?/ a! x; Q如何保持 KMD 又可以获得 PNP 的处理权呢？这可能要直接对 PnpManager
" g% v. m: v; Y4 P8 ~- A进行操作了。这个问题有待大家来完善了。
8 L: u. S9 V9 G  U8 ^

要问为什么把文章插在代码当中，那可能是我觉得，既然把全部代码都贴出
6 Q. ]6 i# u7 t+ v4 H来了，写文章就不如直接看代码来的真切。我这里所写也仅仅是对这些天的
分析做个记录而已。我更愿意把它看做是一段注释。
- b5 {& W) `0 ?# Y
  ^; |2 Q" `2 |2 W- t. }) S$ a# z最后在此代码中要

感谢：PolyMeta，他在放假前提醒我 USB 键盘的不同。

5 m" t$ k3 j2 L4 p8 B: h% k感谢：lgx，过节前给我找了些事，以至于没有让我觉得过节那么无聊。

感谢：齐佳佳，过节请我吃好吃的。
! n4 ?) {/ G6 L) a7 S

******************************************************************/

+ R+ R/ O. ~) h1 d$ [9 e3 x& ?
/*****************************************************************
$ t9 P& |/ s2 @# B2 U  E 文件名        : WssLockKey.c
; W" a2 V+ v8 }* [7 l$ p( a4 ? 描述          : 键盘过滤驱动
; m2 @' c, ~1 z- g 作者          : sinister
$ w2 z1 P0 L  K+ T3 e! d: x5 w5 t 最后修改日期  : 2007-02-26
" B8 e1 N2 a& @! h*****************************************************************/
2 v5 {- ]/ k3 c; ^3 o
/ C- ^3 b+ F- E: q
#include "WssLockKey.h"

NTSTATUS
DriverEntry( IN PDRIVER_OBJECT KeyDriverObject,
2 y9 G; f' O2 Q; a% [) u3 V4 S# g             IN PUNICODE_STRING RegistryPath )
5 Z) S; ~" j, l9 k! J' e0 \{
  UNICODE_STRING KeyDeviceName;
  PDRIVER_OBJECT KeyDriver;
  PDEVICE_OBJECT UsbDeviceObject;
  NTSTATUS ntStatus;
/ v' \& Z% f6 J2 \+ Z" _9 i* E+ n6 J/ r  ULONG i;

  //
  // 保存设备名，调试使用
. {3 `2 Y6 J* P: m7 F' t9 ]: p  //
4 H5 H2 K; ^4 ?# ^4 y; O# g  WCHAR szDeviceName[MAXLEN + MAXLEN] =
2 l( F4 m, _, D$ T! r6 t  {
    0
/ P" c$ E0 _+ ~0 w  };

, G! w+ ?5 T& F. \6 U4 v9 v1 i, Z  KeyDriverObject->DriverUnload = KeyDriverUnload;
2 h  U% v7 ^4 X1 ?: n
0 n2 Y7 K2 {8 g0 I" ^+ F) \  //
  // 先尝试获得 USB 键盘设备对象，如果成功则挂接 USB 键盘
  //
  // 注意：因为 USB 键盘设备名不固定，且即使得到名称也无法
  // 使用 IoGetDeviceObjectPointer() 函数根据设备名称得到其
  // 设备对象，所以这里我们只能自己枚举 USB 设备栈，并得到
  // USB 键盘设备来进行挂接
: m, ^& l1 [- M& I# V  //
  ntStatus = GetUsbKeybordDevice( &UsbDeviceObject );
  if ( NT_SUCCESS( ntStatus ) && UsbDeviceObject != NULL )
  {
    //
( ?9 S. ]  r2 C2 ^    // 调试使用，USB 键盘设备 kbdhid 没有设备名只有驱动名
    // 所以这里打印为空
    //
* n* o* v* r+ _. I3 {3 ^% M" i1 t6 x    RtlInitUnicodeString( &KeyDeviceName, szDeviceName );  // USB KEYBOARD
    DbgPrint( "KeyDeviceName:%S\n", KeyDeviceName.Buffer );

    //
    // 挂接 USB 键盘设备
* s. y2 V; i9 P6 ~: z0 P    //
$ d& o0 [" k$ C6 |$ U) {9 D    ntStatus = AttachUSBKeyboardDevice( UsbDeviceObject, KeyDriverObject );
    if ( !NT_SUCCESS( ntStatus ) )
1 s0 v5 s- t9 e; v0 m( [    {
      DbgPrint( "Attach USB Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
! H! [. G$ I' F2 @1 m( \3 j* E    }
* p4 l" ]% D: \0 _  }
  else
$ Z' y" G, ~& O- k" R  {
    //
    // 如果没有 USB 键盘，则尝试挂接 PS/2 键盘设备
% {; q! I9 `- W$ @    //
# b2 ~# R: F* F. b% _    RtlInitUnicodeString( &KeyDeviceName, PS2KEYBOARDNAME );

! `; c3 Q( J0 s) }  f% z    ntStatus = AttachPS2KeyboardDevice( &KeyDeviceName,
                                        KeyDriverObject,
, }+ O/ e% W3 r$ q                                        &KeyDriver );
    if ( !NT_SUCCESS( ntStatus ) || KeyDriver == NULL )
1 p) H; j1 C' ~1 C    {
/ F0 r, @+ V6 e! I  G" ~' ~; v      DbgPrint( "Attach PS2 Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
9 t- U/ i, j: M2 _3 L6 r- w    }
  }

* e7 Z' w* }5 v" ]8 R  //
6 T# b9 ?' q! V1 `. z1 ~% D- `  // 这里没有过滤其他例程，仅处理了按键操作。这样处理会禁止
  // 休眠。因在锁定时不允许休眠，所以也就无须处理其他例程
  //
  KeyDriverObject->MajorFunction[IRP_MJ_READ] = KeyReadPassThrough;
/ t9 f! y$ y; j6 }
# G; A! k; F" y7 w6 x$ v9 D  return STATUS_SUCCESS;
}
' B/ R7 P& n( Z+ j% X
/////////////////////////////////////////////////////////////////
6 h$ T1 V; |" \& b3 Q! d1 D// 函数类型 : 系统函数
0 b8 e" D8 z8 T( Z' x+ U3 `/ l// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
// 功能 : 尝试取消队列里的异步 IRP，如果失败则等待用户按键，
1 l- D. N1 T- w1 |8 _( n//        卸载键盘过滤驱动
+ J9 t/ y) j6 c4 u- Q2 R! [) y/ V' e// 注意 : 取消 IRP 操作在 2000 系统上可以成功，在 XP / 2003 上
4 W$ w/ d9 h9 o% A7 v8 [//        则需要等待用户按键，以后有待完善
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
* P1 _% J9 X+ g' z( [// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
- w5 X  \! V! Y9 P( A////////////////////////////////////////////////////////////////
// 修改者 :
// 修改日期 :
// 修改内容 :
- s1 O# t( O8 w3 q' g: x/////////////////////////////////////////////////////////////////

/ [( x9 |3 [% h& L; u9 n$ BVOID
9 N! g$ S- B; ^0 P- wKeyDriverUnload( PDRIVER_OBJECT KeyDriver )
6 A" {( V) ^0 g* e% O{
  PDEVICE_OBJECT KeyFilterDevice ;      
  PDEVICE_OBJECT KeyDevice ;
0 l: a( n* |3 c, L: [9 l/ N- z' n  PDEVICE_EXTENSION KeyExtension;
: }9 I( ^# j. M" Z% K$ p0 v- R" V  PIRP Irp;
  NTSTATUS ntStatus;
% S+ j6 o5 V5 R
  KeyFilterDevice = KeyDriver->DeviceObject;
: P( R) w7 E) [, {! u, Q( M% f  KeyExtension = ( PDEVICE_EXTENSION ) KeyFilterDevice->DeviceExtension;
# ~- z+ U( `1 a: T  KeyDevice = KeyExtension->TargetDevice;

+ F# l0 }3 ^/ F4 i4 ?: Y  IoDetachDevice( KeyDevice );
8 t! ]0 D2 X3 _. b, q
; a3 x6 }" I" I  //
( P9 I- E! o+ x1 A- M+ r  // 如果还有 IRP 未完成，且当前 IRP 有效则尝试取消这个 IRP
& h5 ?/ r4 L+ u  //
5 H2 _- k% A$ |7 @5 _3 }  if ( KeyExtension->IrpsInProgress > 0 && KeyDevice->CurrentIrp != NULL )
  {
8 `, |* D. }. w' x    if ( CancelKeyboardIrp( KeyDevice->CurrentIrp ) )
+ G8 j7 T( ^+ k    {
3 n2 N* u. D' u' A      //
      // 成功则直接退出删除键盘过滤设备
      //
      DbgPrint( "CancelKeyboardIrp() is ok\n" );
      goto __End;
    }
  }
6 P2 y( m- j0 M) [8 C6 Y
# Z6 T! z, Y+ D4 ~# l9 E6 w, ^1 F  //
( s6 E0 e0 m9 q. p% U4 n" ?  // 如果取消失败，则一直等待按键
  //
  while ( KeyExtension->IrpsInProgress > 0 )
8 A8 A& q$ y/ Z: o3 Z! z7 C  {
; i$ y  _3 u+ j% B    DbgPrint( "Irp Count:%d\n", KeyExtension->IrpsInProgress );
  }

7 @8 S2 h$ v" I8 }0 {" h# Z9 ?  __End:
  IoDeleteDevice( KeyFilterDevice );

: O* f# O# C" b# |' c+ M; E- H( v  return ;
}
. |% t7 A- `2 ^0 y9 J2 m( t
# C7 h' Q  J' B/////////////////////////////////////////////////////////////////
/ s2 u1 F- A4 i, \. e2 `// 函数类型 : 自定义工具函数
. T5 N& h# A9 @4 C& A1 _4 l// 函数模块 : 键盘过滤模块
% H) S/ N& h0 b/////////////////////////////////////////////////////////////////
# U, q, F& p' D" {2 B+ X# ~# Q// 功能 : 取消 IRP 操作
6 ]$ m( p3 O! p4 ?! f" Y// 注意 : 这个函数仅是为配合在 UNLOAD 例程使用，其他例程中不能
//        使用此方法来取消 IRP
/////////////////////////////////////////////////////////////////
+ A! H$ |: K' J) s. f// 作者 : sinister
- R0 n% W3 i, C* A' e# n; u1 y( P// 发布版本 : 1.00.00
// 发布日期 : 2007.02.20
8 L. x/ x4 D' S: Y* B9 u; G/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
( [& {2 s% S9 C( F5 Z/////////////////////////////////////////////////////////////////
// 修改者 :
& Y5 e2 P4 ?! [& }// 修改日期 :
1 _, }$ J) |' ^: `. [// 修改内容 :
: z0 u0 `6 C& I) O- y/////////////////////////////////////////////////////////////////

# f# f/ ^4 F# vBOOLEAN
CancelKeyboardIrp( IN PIRP Irp )
# _/ C- s9 E/ C, B2 I' P{
6 E% j" M  ^6 G1 d  if ( Irp == NULL )
  {
: q5 }/ N& l  X- _; P) Y" W    DbgPrint( "CancelKeyboardIrp: Irp error\n" );
* m$ |/ b# ]* I: @" b* _    return FALSE;
6 p& h9 W- ?8 _6 V, n' _/ x  }
# k9 l: c  `1 C( c4 m
# H5 ^4 d2 u; S" |* }$ ]
  //
- `6 m- B9 r! ^6 `& G% U6 q$ P  // 这里有些判断应该不是必须的，比如对 CancelRoutine 字段，
  // 因为 IoCancelIrp() 函数中有判断了。但只有偏执狂才能生存 :)。
, m: c$ k3 S3 ^% q0 c/ w  // 小波说 低智、偏执、思想贫乏是最不可容忍的。我这一行代码就占
  // 了两条 :D，不知 xiaonvwu 看过后会作何感想？:DDD
  //

- r+ R6 K4 b1 O( s' ?' X- b  //
/ _' a" Y5 Z& b& H$ R; t  // 如果正在取消或没有取消例程则直接返回 FALSE
) K% Y5 [# ]8 d6 U2 ]/ Z" h1 ^  //
2 ?2 M0 t# @" K* \  if ( Irp->Cancel || Irp->CancelRoutine == NULL )
3 j' A# U/ A9 ^: a/ J3 }5 I' G+ U  {
    DbgPrint( "Can't Cancel the irp\n" );
    return FALSE;
  }
6 X$ z8 |8 b9 A$ K6 n7 H# N
- Z/ O- B0 h: @% z  if ( FALSE == IoCancelIrp( Irp ) )
/ G( T& T# F) R% l) i3 @% V  {
    DbgPrint( "IoCancelIrp() to failed\n" );
% V% M  [9 q1 _' k+ ]. r    return FALSE;
- a3 _0 c) e0 W, @% R  }
' G  p! Q' v* _: Q7 n
  //
  // 取消后重设此例程为空
( l  w0 [. ]$ V. H8 v2 `# c  //
) M5 V+ Q" \- i( ~, R9 Y, D  IoSetCancelRoutine( Irp, NULL );
: R" G1 |. V( ]" `: ]8 c: g
$ D2 o# R6 T4 W7 T1 |  return TRUE;
. y! y. p' g: Z1 }}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
4 I  s: u% ]" Y) b1 q// 函数模块 : 设备栈信息模块
. @7 v9 Z" ~& B" D% e( ?/////////////////////////////////////////////////////////////////
// 功能 : 遍历 DEVICE_OBJECT 中 AttachedDevice 域，找到 USB 键盘
//        设备上名为 kbdhid 的过滤驱动（Upper Filter Driver）
// 注意 :
& [/ }. n: q4 I, [" ]4 Y! O/////////////////////////////////////////////////////////////////
6 ]4 K- r3 i' J8 e6 H$ ]6 }/ P% U! ]// 作者 : sinister
1 O7 L- H7 x. V  i- H// 发布版本 : 1.00.00
6 E3 D5 j( o4 r" B# i: [// 发布日期 : 2005.06.02
$ _* w2 O. y0 x4 e8 J* {+ I/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
  o3 n9 h, S3 Z6 f) f/////////////////////////////////////////////////////////////////
$ k2 w0 b4 w3 e: l9 t# k0 k4 n// 修改者 : sinister
, y( _0 q( Q5 \4 U// 修改日期 : 2007.2.12
+ J% _7 b5 R  P// 修改内容 : 为匹配 USB 键盘驱动做了相应的修改
/////////////////////////////////////////////////////////////////
$ b7 d6 P1 t! C  t; r$ k
BOOLEAN
GetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj )
  Z4 X+ O/ F# W4 R5 u/ O9 |; F{
  PDEVICE_OBJECT DeviceObject;
; l+ w' Z+ G5 ]5 b" w! H  BOOLEAN bFound = FALSE;

; R8 ~; G0 G7 |' }6 t3 m  if ( DevObj == NULL )
  {
    DbgPrint( "DevObj is NULL!\n" );
+ B' M% ^0 }  B+ S( F) Y    return FALSE;
  }
7 x. u% [3 s5 G0 m( E- p' S. r$ q
  DeviceObject = DevObj->AttachedDevice;

" g/ m( x' E8 U" g! Y5 E  while ( DeviceObject )
  {
) E1 j: G8 i1 f( E    //
8 D% p: E7 ?5 {" o% P! E    // 一些 OBJECT 的名称都存在分页区，虽然大部分时候不会被交换出去，但
3 X3 {2 ]3 U' _7 {    // 有一次足够了。这算是经验之谈
    //
    if ( MmIsAddressValid( DeviceObject->DriverObject->DriverName.Buffer ) )
    {
1 x5 q6 F% q' t: H! \( d      DbgPrint( "Attached Driver Name:%S,Attached Driver Address:0x%x,Attached DeviceAddress:0x%x\n",
                DeviceObject->DriverObject->DriverName.Buffer,
, u  y  f( H  _) ^8 m6 u                DeviceObject->DriverObject,
2 z, Y) B/ ?. p0 X( A1 \                DeviceObject );

% U! u' X$ K2 N0 H  k+ s! l      //
      // 找到 USB 键盘驱动的 kbdhid 设备了么？找到了就不继续了
& @6 \0 z, r) `      //
8 E: F: U8 W- |) Q      if ( _wcsnicmp( DeviceObject->DriverObject->DriverName.Buffer,
                      KDBDEVICENAME,
( _: n6 ]& Q6 a* F                      wcslen( KDBDEVICENAME ) ) == 0 )
' w/ l1 p$ ]& L7 y% u7 e4 J. T0 o      {
        DbgPrint( "Found kbdhid Device\n" );
! Z; t/ Z/ o0 o        bFound = TRUE;
$ K7 x, w' K( \  s6 {5 J. y+ M3 X        break;
      }
    }

    DeviceObject = DeviceObject->AttachedDevice;
  }
5 M$ Y5 [, h0 @: F
0 N7 V/ r- c7 D; A/ z8 x* @& x  return bFound;
! j3 ?" a2 q6 \  E! C) S}

/////////////////////////////////////////////////////////////////
) X. F- j. ?% v// 函数类型 : 自定义工具函数
# D9 l; u& U, W/ h8 f/ H! d; G// 函数模块 : 设备栈信息模块
/////////////////////////////////////////////////////////////////
! g0 Z! K; b& I2 ^3 n+ n// 功能 : 从 DEVICE_OBJECT 中得到设备与驱动名称并打印地址
/ |2 ~2 a, L/ ~# Y: u+ |- @// 注意 : 函数功能只是打印信息，不同环境使用中应该会做修改
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2006.05.02
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
0 W, T/ X) A) {// 修改者 : sinister
// 修改日期 : 2007.2.12
# ^2 r& K/ ?9 g* P// 修改内容 : 打印出 USB 键盘驱动的设备名称，仅作调试使用
3 ]) `- H3 i) u" [+ K/////////////////////////////////////////////////////////////////
# C% k: K: ?7 k% {5 m% J5 U
0 s8 Z" j( g, O" J+ z- V+ {VOID
' E2 b) @/ J3 |8 P: B# V6 sGetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj )
{
4 u5 t$ E8 u6 d, B, t2 M! B: W  POBJECT_HEADER ObjectHeader;
  POBJECT_HEADER_NAME_INFO ObjectNameInfo;
$ M0 y6 ], v3 y5 Y4 u" e* w+ u; v
  if ( DevObj == NULL )
  {
4 @  L: O  @, z5 X3 o& }    DbgPrint( "DevObj is NULL!\n" );
7 h# \4 c% M. W2 u0 V  Y* c# X    return;
- _) b! C9 J6 {* ~9 I" B6 c7 }% V  }

4 i1 Y/ u7 P: L" ]5 J1 W4 f& C  //
4 p8 e) h* B2 y  // 得到对象头
+ x1 y8 _0 [5 d9 t# ?  //
  ObjectHeader = OBJECT_TO_OBJECT_HEADER( DevObj );

  if ( ObjectHeader )
# w8 U1 U- H# O& {  {
    //
    // 查询设备名称并打印
    //
; ^! M$ o3 O! M6 m    ObjectNameInfo = OBJECT_HEADER_TO_NAME_INFO( ObjectHeader );

    if ( ObjectNameInfo && ObjectNameInfo->Name.Buffer )
# A0 v) v9 w  J8 F/ u    {
3 |2 `% w+ x1 {5 u$ {; T      DbgPrint( "Device Name:%S - Device Address:0x%x\n",
                ObjectNameInfo->Name.Buffer,
                DevObj );
+ c' U; c: _: |  r  R3 q* b3 D
      //
1 l9 l( I  a& f$ z6 A      // 复制 USB 键盘设备名到一个全局 BUFFER 里，为调试时显示
$ t8 z# c8 k5 }: F# @2 Q      // 用，没有实际的功能用途
      //
7 L7 E. l4 ~3 E1 ~      RtlZeroMemory( szUsbDeviceName, sizeof( szUsbDeviceName ) );

) M) Y$ z% K# ?* x4 t+ B, }  d      wcsncpy( szUsbDeviceName,
# e* B) u6 L2 S               ObjectNameInfo->Name.Buffer,
" k: A  s" w9 q1 H3 y9 m               ObjectNameInfo->Name.Length / sizeof( WCHAR ) );
& @" L) [: {5 L2 T" d3 p    }
6 n4 h/ N/ f8 c/ o" ^' k
    //
$ n. v) I& ]8 n, h    // 对于没有名称的设备，则打印 NULL
$ p' @+ ]% q+ M+ L. y$ K2 I, N    //
$ s, _$ O+ v% _9 N7 O, q    else if ( DevObj->DriverObject )
$ [" \5 l: Q- H* [0 v  B    {
0 w# i9 b% M8 V) a+ O+ H1 c      DbgPrint( "Driver Name:%S - Device Name:%S - Driver Address:0x%x - Device Address:0x%x\n",
                DevObj->DriverObject->DriverName.Buffer,
                L"NULL",
7 Z* x8 y6 j7 Z' }' K                DevObj->DriverObject,
2 _( [$ q% i( D* `" ]9 J' y* V                DevObj );
    }
  }
( f; @1 {& M- H$ `8 ]}
4 |3 T" L+ {1 p$ w% R) A. k0 [2 S" I2 _
' F9 e+ Q( ]& ^: X& a/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
( {5 W3 _# O3 P0 G6 q- ~. g0 w0 l// 函数模块 : 键盘过滤模块
2 @* ^6 U; \2 l. [5 T  Z# I/////////////////////////////////////////////////////////////////
// 功能 : 得到 USB 驱动 hidusb 的驱动对象，并遍历以上所有设备
//        对象，过滤出 USB 键盘设备，将其设备对象返回
2 b) j* n& M- c1 p+ n// 注意 :
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2007.02.13
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
. l1 ^+ k8 ?& |6 X: }// 修改者 :
. E+ u, l# e( b3 v6 {// 修改日期 :
7 B, }( z/ K( h; R9 _// 修改内容 :
) O  p4 ?, i" |# a/////////////////////////////////////////////////////////////////

NTSTATUS
GetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject )
{
  UNICODE_STRING DriverName;
  PDRIVER_OBJECT DriverObject = NULL;
  PDEVICE_OBJECT DeviceObject = NULL;
  BOOLEAN bFound = FALSE;
" R* B3 l  r0 w% A
$ J' V7 F5 k2 q+ r  RtlInitUnicodeString( &DriverName, USBKEYBOARDNAME );

  ObReferenceObjectByName( &DriverName,
0 F% X& f2 T+ u" I# l1 R                           OBJ_CASE_INSENSITIVE,
                           NULL,
                           0,
                           ( POBJECT_TYPE ) IoDriverObjectType,
3 F. M* ?. ~$ P+ ]* N  {" G1 [                           KernelMode,
: C0 o4 A5 q) k3 _                           NULL,
( b# l6 I7 |5 K0 p) ^! ~                           &DriverObject );

" `6 f. S, ^# I$ a& }2 `) ~8 G  if ( DriverObject == NULL )
  {
$ [" }3 c: M* n, X4 m0 [! S; n    DbgPrint( "Not found USB Keyboard Device hidusb!\n" );
* ?6 B" M1 R$ l; v9 r1 o% g    return STATUS_UNSUCCESSFUL;
- e' ]0 F/ p6 }% ]0 F0 P) h# ^  }

  DeviceObject = DriverObject->DeviceObject;
9 x# O( {7 Z/ D: `1 ?# t
8 R- J) O5 J* N. G6 t% }  while ( DeviceObject )
  {
    GetDeviceObjectInfo( DeviceObject );

    if ( DeviceObject->AttachedDevice )
8 n2 S* K1 L; e7 O& v    {
2 J2 ^5 m  d- l7 S9 m' n/ g# q( y      //
      // 查找 USB 键盘设备
1 N3 T) h! S. H( h- s7 h      //
( ]- K2 ]% X9 [: ~0 V+ ^      if ( GetAttachedDeviceInfo( DeviceObject ) )
" @  V, e0 D9 ]5 g      {
0 m3 E/ M% r2 G. @# r7 k        bFound = TRUE;
        goto __End;
: N6 ^* g$ V9 f0 y      }
    }

    DeviceObject = DeviceObject->NextDevice;
; A9 c$ K& d3 Y* U! i, g  }

  __End:
/ F  z, v! Y( }8 K  f
  if ( bFound )
' b* u$ T/ J/ V2 [) x* m  {
    //
    // 找到则返回 USB 键盘设备对象
    //
# w" ^( _1 |0 M    *UsbDeviceObject = DeviceObject;
  }
; u$ e4 E- B$ t; M- {( \: p7 ^3 L, {  else
  {
    *UsbDeviceObject = NULL;
  }
' s0 c' Z9 [5 V& ]2 P& Z* G- m+ T
  return STATUS_SUCCESS;
}
; v0 f4 w) N: d' m- ]
1 t3 {7 h2 @3 N2 Y. [( q/////////////////////////////////////////////////////////////////
+ b. [4 y& r9 l// 函数类型 : 自定义工具函数
) I1 L# x  v7 q' @! n* c' m7 T// 函数模块 : 键盘过滤模块
! m- W2 ?/ W' y4 |% H# b& p////////////////////////////////////////////////////////////////
6 y) z, K0 K' {# L/ |1 {8 j8 G// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
% y% _8 i5 s9 G2 O+ F4 I: n0 C//        信息，返回附加后的驱动对象
2 x9 k. w: r9 g// 注意 : 此函数仅挂接 USB 键盘设备
/////////////////////////////////////////////////////////////////
// 作者 : sinister
" B7 N, U, z9 l  [8 e1 u// 发布版本 : 1.00.00
// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
0 H& \% }$ h% t9 h% C8 ?4 a: B% q////////////////////////////////////////////////////////////////
- |% m( o7 a" r5 P// 修改者 :
// 修改日期 :
// 修改内容 :
! N' P* F- D5 V" O6 P0 r( e- ]+ ]; A/////////////////////////////////////////////////////////////////
2 [6 W' S% ]8 U' |, S8 [! U
1 O/ \; A) M$ F! V0 D* v% kNTSTATUS
AttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
1 }* _! q) s3 w# d2 n- S( w! |$ o                         IN PDRIVER_OBJECT  DriverObject )
{
  PDEVICE_OBJECT DeviceObject;
% y; ~- p" ]  B  PDEVICE_OBJECT TargetDevice;
  PDEVICE_EXTENSION DevExt;
  NTSTATUS ntStatus;

6 T) h( Q( R* i7 ?" p1 i& c  //
! A& @+ F5 w3 Z! G  // 创建过滤设备对象
8 M2 a6 F$ Q) _/ A- P  //
  ntStatus = IoCreateDevice( DriverObject,
, \) U, |! B9 q% E                             sizeof( DEVICE_EXTENSION ),
                             NULL,
! P6 e8 w- e, q  I                             FILE_DEVICE_UNKNOWN,
                             0,
                             FALSE,
3 c* r9 w4 s9 ~( g                             &DeviceObject );

" E  u0 \1 L: A+ \$ p* ?/ w% E  if ( !NT_SUCCESS( ntStatus ) )
+ @3 z6 p3 K# S4 j5 x3 Z  {
- j8 }1 A% a9 d+ F  R2 I+ R/ s    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
    return ntStatus;
  }

# z& A* a+ V0 |$ o  DevExt = ( PDEVICE_EXTENSION ) DeviceObject->DeviceExtension;

  //
4 U+ x: b* n8 T+ ?  // 初始化自旋锁
  //
" V  P1 ~/ w  m1 f) I  KeInitializeSpinLock( &DevExt->SpinLock );

  //
  // 初始化 IRP 计数器
3 D5 S; O) b& O# G  J  //
  DevExt->IrpsInProgress = 0;
/ X. u; N! c6 ~, m  N
) F, k# m6 F  y. P  //
  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
1 n: ~2 u1 h3 L1 T  //
" _! E+ g2 y; d8 M
0 Y  s  x6 b0 @) f  TargetDevice = IoAttachDeviceToDeviceStack( DeviceObject, UsbDeviceObject );
  if ( !TargetDevice )
0 Z; {! D( p5 v5 ^- R  {
. ^& u- _) w, o. i- H: `    IoDeleteDevice( DeviceObject );
    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
* N/ |3 \8 x, S3 N& t    return STATUS_INSUFFICIENT_RESOURCES;
  }
+ ^  H3 h, B  w$ y7 W' d
  //
, K- G6 Z  D  C8 R" J  // 保存过滤设备信息
  //
1 R% o3 d0 g: e6 p7 @  DevExt->DeviceObject = DeviceObject;
  DevExt->TargetDevice = TargetDevice;
! H! B2 H2 v, c6 ?) E4 ?1 ?
- C: W+ e; Y) b! B* W% b  //
2 x& P0 Q* S3 r  p% Z3 q  // 设置过滤设备相关信息与标志
' u/ _( d3 T) R  S  c" W" `; L  //
- A: Z; f: n& x: S, i5 n  DeviceObject->Flags |= ( DO_BUFFERED_IO | DO_POWER_PAGABLE );
  DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
2 ]5 s- N+ S. U( z3 M. g
8 R  q$ W7 j: b; n2 j
: b! Q' P, H4 v5 e- V  return STATUS_SUCCESS;
* n& s. o+ }! Q# \# |  j2 A}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
" N- G4 @, z2 e. v) v, @// 函数模块 : 键盘过滤模块
+ N* W/ K5 O3 v) k/ ]////////////////////////////////////////////////////////////////
// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
//        信息，返回附加后的驱动对象
// 注意 : 此函数仅挂接 PS/2 键盘设备
/////////////////////////////////////////////////////////////////
* i: c4 d) g. p// 作者 : sinister
# H7 R( ~5 e! w" x2 y5 m* x2 r5 a5 O// 发布版本 : 1.00.00
// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
, |% `5 k, o( T0 ?$ K2 b// 重   大   修   改   历   史
# I% B6 t2 u0 f- k, c" Q////////////////////////////////////////////////////////////////
// 修改者 :
// 修改日期 :
  q; E6 W2 T  k) a) ]$ R// 修改内容 :
3 E9 c7 K8 R3 }- W/////////////////////////////////////////////////////////////////
( v0 o1 g" B- q; U" U
, Y3 u# Z! ^% L4 sNTSTATUS
AttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName, // 需要跟踪的设备名
( T: I0 _8 u: }                         IN PDRIVER_OBJECT  DriverObject, // 过滤驱动也就是本驱动的驱动对象
                         OUT PDRIVER_OBJECT* FilterDriverObject ) // 返回附加后的驱动对象
! |+ `9 K0 W. f{
  PDEVICE_OBJECT DeviceObject;
0 `- V1 e8 G4 C5 g' g, [! q) e- a# r  PDEVICE_OBJECT FilterDeviceObject;
  PDEVICE_OBJECT TargetDevice;
  PFILE_OBJECT FileObject;
2 c1 x& O4 p3 w# l$ _  PDEVICE_EXTENSION DevExt;

  `& T  i! w3 W% J  NTSTATUS ntStatus;

  //
  I9 }% n$ `0 ~- K5 s  G$ e  _  // 根据设备名称找到需要附加的设备对象
; ?: }+ K8 ]7 Y7 ^' `2 e7 M  //
, j9 r4 W, R8 k' n" B, z! Z  ntStatus = IoGetDeviceObjectPointer( DeviceName,
: Q1 H; o0 }* c                                       FILE_ALL_ACCESS,
                                       &FileObject,
                                       &DeviceObject );
- A) d1 v# w: F! Y; I) W
$ _% ~1 H" ~) S7 g7 H, H7 ]  if ( !NT_SUCCESS( ntStatus ) )
  {
    DbgPrint( "IoGetDeviceObjectPointer() 0x%x\n", ntStatus );
    return ntStatus;
0 g8 W* W; _* \' [  b! H  }

  //
  // 创建过滤设备对象
  //
  ntStatus = IoCreateDevice( DriverObject,
/ Q% z5 z8 }  l8 I9 J7 S                             sizeof( DEVICE_EXTENSION ),
                             NULL,
+ \! V& f4 e$ c9 Q7 k; N2 K                             FILE_DEVICE_KEYBOARD,
                             0,
# j* w6 o/ S, t7 @4 V* \                             FALSE,
8 m# g, l+ {1 G/ }# p, r' P                             &FilterDeviceObject );
' ]' [4 E7 P9 o  Y- o8 B* X
$ V6 w# Y6 Y. w  if ( !NT_SUCCESS( ntStatus ) )
; \& O8 L1 M  v1 w  {
    ObDereferenceObject( FileObject );
- p1 @% l5 i) j5 l8 E    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
. ^4 h' N0 M/ Z+ x    return ntStatus;
  }
9 q1 S7 g* J0 L& ]. L+ r. Q
  //
  // 得到设备扩展结构，以便下面保存过滤设备信息
/ Z1 G& F- Y8 [, S  _0 o  //
  DevExt = ( PDEVICE_EXTENSION ) FilterDeviceObject->DeviceExtension;
1 W4 M( s  T% ^

  //
  // 初始化自旋锁
8 w3 x/ Q, D$ O. U4 A* U1 a  //
  KeInitializeSpinLock( &DevExt->SpinLock );
9 M# R+ d) M2 s) j: h9 O4 \
  //
  // 初始化 IRP 计数器
7 X/ m7 r" y1 z5 ~1 E# Z- j  //
  DevExt->IrpsInProgress = 0;

! X4 s' o, }) H! m, f7 L9 B  //
  }# @: l' _# T+ P  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
. M8 h  v8 J4 n# _4 \) [6 h1 e' t  //
  TargetDevice = IoAttachDeviceToDeviceStack( FilterDeviceObject,
  g- b' \! B' |/ ?4 j                                              DeviceObject );
+ t9 h7 l) @. q- [  if ( !TargetDevice )
& O: r1 V' I8 C0 k* n4 K1 v8 R7 `  {
    ObDereferenceObject( FileObject );
* g" l7 x3 T9 T% c& e& Z$ W    IoDeleteDevice( FilterDeviceObject );
    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
. ^. L. j9 S4 a6 S9 t0 @7 W- P6 o    return STATUS_INSUFFICIENT_RESOURCES;
  }

  //
  // 保存过滤设备信息
2 [0 {9 e" ]/ b. _4 l  //
  DevExt->DeviceObject = FilterDeviceObject;
  DevExt->TargetDevice = TargetDevice;
  DevExt->pFilterFileObject = FileObject;

  //
7 m& _' j2 u. |. O- e5 N+ ^  // 设置过滤设备相关信息与标志
  //
  FilterDeviceObject->DeviceType = TargetDevice->DeviceType;
- T6 X' d6 ]. _0 ?5 o; m  FilterDeviceObject->Characteristics = TargetDevice->Characteristics;
0 Q9 I+ Q% U: g1 _6 F4 N  FilterDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
5 Q& K% Y1 V: J1 n  `9 N  W  FilterDeviceObject->Flags |= ( TargetDevice->Flags & ( DO_DIRECT_IO |
$ U3 l/ N/ P* V! S) j                                                         DO_BUFFERED_IO ) );

. X. y; g, S! ~& F6 j9 p  //
4 Z- l6 }3 T1 p8 [  // 返回附加后的驱动对象
  //
  *FilterDriverObject = TargetDevice->DriverObject;

8 R& h4 u+ v/ \* U8 c  ObDereferenceObject( FileObject );

  return STATUS_SUCCESS;
( J* S. [5 k' M. m. Z: c* h}
! `0 _7 u0 B  s& r  F. l$ D
7 ?* d) A" Y# ~1 C; x/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
/ O, p4 I! x6 ]% D3 U) I// 功能 : 键盘过滤驱动的 IRP_MJ_READ 派遣例程，所有按键将触发
//        这个 IRP 的完成
// 注意 :
( y. M; w3 B7 O- H7 ], ~' `( s! f; K/////////////////////////////////////////////////////////////////
3 p3 Q# j$ h( `, `( K" u& T5 D; i// 作者 : sinister
. ]. {2 N+ F# Q( T3 ~// 发布版本 : 1.00.00
// 发布日期 : 2007.2.15
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
0 K( b6 i7 ^& T& I' @) w) e// 修改者 :
; x6 O* z% f1 I2 e, X// 修改日期 :
// 修改内容 :
6 V3 R! g+ W$ x& z. y2 G2 ~/////////////////////////////////////////////////////////////////
' r) P/ U; m$ r9 J0 v
NTSTATUS
$ M" W' p  @$ q& YKeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
3 R* k  R5 w. M8 f0 }{
. d; |6 D, M7 ~  NTSTATUS status;
5 v  M! t' r" p5 p8 T9 z- b) s7 f) p  KIRQL IrqLevel;
1 `9 p; x* F6 s! j; z$ P
  PDEVICE_OBJECT pDeviceObject;
  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
' D9 f  ]" e9 j! s5 t                                   DeviceObject->DeviceExtension;

+ s5 t) |: i: _; C
  IoCopyCurrentIrpStackLocationToNext( Irp );

  //
6 P4 \8 _: M' D5 t0 E& X  // 将 IRP 计数器加一，为支持 SMP 使用自旋锁
' {. u& i0 C9 o6 F0 E  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
  InterlockedIncrement( &KeyExtension->IrpsInProgress );
! P; d4 x3 ?8 w' p" ~  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );
" s. K+ K3 A! B! v; X0 `1 U4 I
% y* ~% S3 O& o% H! b& h/ u  IoSetCompletionRoutine( Irp,
                          KeyReadCompletion,
                          DeviceObject,
                          TRUE,
; z+ S! H& W) @- o0 D6 t7 U                          TRUE,
8 y6 P/ Z. i, N' X: {8 |                          TRUE );

  return IoCallDriver( KeyExtension->TargetDevice, Irp );
- r8 D! b! }3 n: v# X& N5 u}
: d3 F0 h& L+ `
8 s3 G* {7 q6 T2 I5 f) e& L% U  ]/////////////////////////////////////////////////////////////////
// 函数类型 ：系统回调函数
// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
// 功能 ： 获得键盘按键，用无效扫描码替换，以达到屏蔽键盘的目的
// 注意 ：
# n' L$ `. n. G1 a1 _5 x' ^/////////////////////////////////////////////////////////////////
* T/ ~& T* G% L- s. k  z+ s* x( l// 作者 : sinister
// 发布版本 : 1.00.00
+ b; J8 I" `6 D5 m! R& v// 发布日期 : 2007.2.12
' f2 C$ W& y0 L/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
1 C& \1 _* H# {( w////////////////////////////////////////////////////////////////
// 修改者 :
// 修改日期 :
// 修改内容 :
9 Q0 B9 H0 k( z/////////////////////////////////////////////////////////////////

$ d1 S3 X8 {6 M  Q' q4 xNTSTATUS
KeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
0 q& {6 ^7 ]6 ?                   IN PIRP Irp,
/ C# r! w6 Y# @9 i                   IN PVOID Context )
2 x8 F7 f# k: D2 L- {{
  PIO_STACK_LOCATION IrpSp;
# u  P8 s' C$ c  W& L. D8 [  PKEYBOARD_INPUT_DATA KeyData;
  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
/ X4 a1 g8 n/ @0 B/ X8 N6 x                                   DeviceObject->DeviceExtension;
  int numKeys, i;
* Z8 k# c0 X3 F7 Y  KIRQL IrqLevel;
3 R- ~. @( l- Q; O9 I, u2 u
8 U+ L( L. s  z1 C1 a5 Q$ h  IrpSp = IoGetCurrentIrpStackLocation( Irp );
% V6 ~0 D5 @5 T6 h
1 D: F" }4 N6 u8 B
. T% [2 {- J, y, L( k  if ( Irp->IoStatus.Status != STATUS_SUCCESS )
  {
    DbgPrint( "ntStatus:0x%x", Irp->IoStatus.Status );
; t: ]1 H! }, o& L, r    goto __RoutineEnd;
  }
0 {  c5 d. \, y8 [2 E* u
  //
; ]& i: z) C* Z9 e) T0 g7 q# s4 ]  // 系统在 SystemBuffer 中保存按键信息
  //
  KeyData = Irp->AssociatedIrp.SystemBuffer;
( b- z5 K2 }( [# |  if ( KeyData == NULL )
  {
    DbgPrint( "KeyData is NULL\n" );
" \9 n. d  }7 m$ w4 y$ E* D- W1 [, K5 N0 M    goto __RoutineEnd;
* t2 k( m0 G% t& D+ d9 G9 x# c  }
; P' L: F* h- Y$ W6 g" W
  //
* y/ F9 h9 K5 [6 p$ p+ y, r" _  // 得到按键数
  //
5 I% o9 N, {+ f6 g0 o3 B  numKeys = Irp->IoStatus.Information / sizeof( KEYBOARD_INPUT_DATA );
  if ( numKeys < 0 )
: `7 m+ T6 @* E: a: `0 X  {
    DbgPrint( "numKeys less zero\n" );
    goto __RoutineEnd;
  j* J# L3 p9 a; G& H8 K! q  }
6 ]  `* m% c2 \. R
# ^8 D! E' C2 A( k6 D8 ?/ z  //
* r7 Q8 T" _) a: Q  // 使用 0 无效扫描码替换，屏蔽所有按键
  //
: H, }' k1 }6 D0 k" o  for ( i = 0; i < numKeys; i++ )
1 D! Z8 ~% G/ U1 \! q% f$ E  {
, j# X2 A. q: g3 r' d; I6 g& Z/ O% K    DbgPrint( "KeyDwon: 0x%x\n", KeyData[i].MakeCode );
    KeyData[i].MakeCode = 0x00;
  }
0 C6 t. M7 \+ Y

  __RoutineEnd :

  if ( Irp->PendingReturned )
  {
    IoMarkIrpPending( Irp );
  }

  //
  // 将 IRP 计数器减一，为支持 SMP 使用自旋锁
* y2 n; q4 _4 V0 w0 z1 ^  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
  InterlockedDecrement( &KeyExtension->IrpsInProgress );
# D8 l+ \7 _, m6 W) `/ z5 w  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );
. u8 z  Q3 i; l; B9 T0 j% ~# v
  return Irp->IoStatus.Status ;
}
: M! o; K; E9 o; P; w4 w3 p& f

$ `7 n# F$ e7 e1 Z9 K/*****************************************************************
- q) {( g9 S3 h# J7 V& c 文件名        : WssLockKey.h
描述          : 键盘过滤驱动
作者          : sinister
最后修改日期  : 2007-02-26
*****************************************************************/

#ifndef __WSS_LOCKKEY_H_
: s0 O7 o+ X( j9 [- e#define __WSS_LOCKKEY_H_

#include "ntddk.h"
6 G+ w" w& `- P7 v/ q# B#include "ntddkbd.h"
#include "string.h"
. ]0 d+ y5 Z4 F% y. O#include
  ~) n# ^& D' r
( s/ {! }, u- g7 r- W#define MAXLEN 256

' o* d! X( b% V) e6 Y4 E5 d  d#define KDBDEVICENAME L"\\Driver\\kbdhid"
#define USBKEYBOARDNAME L"\\Driver\\hidusb"
#define PS2KEYBOARDNAME L"\\Device\\KeyboardClass0"

: L. ~3 \/ v: X( X, Stypedef struct _OBJECT_CREATE_INFORMATION
{
    ULONG Attributes;
9 }2 [( ~+ P, V/ [  i9 c    HANDLE RootDirectory;
- |6 j" P. n% g% |    PVOID ParseContext;
    KPROCESSOR_MODE ProbeMode;
    ULONG PagedPoolCharge;
& D* a4 ~0 b1 B# P    ULONG NonPagedPoolCharge;
    ULONG SecurityDescriptorCharge;
1 ]0 D, X# D4 s; S( b    PSECURITY_DESCRIPTOR SecurityDescriptor;
, p# B3 p- C) V! \    PSECURITY_QUALITY_OF_SERVICE SecurityQos;
    SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_CREATE_INFORMATION, * POBJECT_CREATE_INFORMATION;

typedef struct _OBJECT_HEADER
{
7 j7 a9 J% E, v0 `( L6 r" {    LONG PointerCount;
    union
    {
        LONG HandleCount;
4 J: b( P2 G# O% B6 y1 y2 ]+ a        PSINGLE_LIST_ENTRY SEntry;
    };
  ?2 {: W9 c  c- F$ M& H    POBJECT_TYPE Type;
1 Z6 S$ `& a' @. a    UCHAR NameInfoOffset;
    UCHAR HandleInfoOffset;
    UCHAR QuotaInfoOffset;
6 ]! ?3 x- e7 Y9 N8 U5 J    UCHAR Flags;
0 o" s7 B7 S0 [1 \    union
6 e, p- A: y+ L1 q* H! z9 J& R    {
        POBJECT_CREATE_INFORMATION ObjectCreateInfo;
9 l; Z4 f( P- \7 e' n        PVOID QuotaBlockCharged;
+ g. O8 w' f% r: k    };
6 W7 W6 _# ~: g  S
3 ~! u0 H0 k0 w7 R% `, b    PSECURITY_DESCRIPTOR SecurityDescriptor;
    QUAD Body;
7 ^+ i$ b5 @4 C( n4 i! t} OBJECT_HEADER, * POBJECT_HEADER;

" y* }- i, _, O$ M& C$ ]) M! p#define NUMBER_HASH_BUCKETS 37

typedef struct _OBJECT_DIRECTORY
& V' ]$ O! u0 L! G{
    struct _OBJECT_DIRECTORY_ENTRY* HashBuckets[NUMBER_HASH_BUCKETS];
    struct _OBJECT_DIRECTORY_ENTRY** LookupBucket;
" Z1 q% N# `7 F) g: e& O    BOOLEAN LookupFound;
" x2 h( ]! j9 s4 ?$ v    USHORT SymbolicLinkUsageCount;
* W* q! C  y/ m  A$ a* V    struct _DEVICE_MAP* DeviceMap;
6 j+ o# Z, o- N8 d4 t0 l6 P: Q} OBJECT_DIRECTORY, * POBJECT_DIRECTORY;

typedef struct _OBJECT_HEADER_NAME_INFO
{
1 y" ]# Z) t4 J    POBJECT_DIRECTORY Directory;
: L. i3 L4 e, N9 P$ |    UNICODE_STRING Name;
6 W- V8 a- o# X    ULONG Reserved;
2 v. Z- x% d+ W, P; b1 ~5 o#if DBG
6 Y  p# Y: _8 U. X3 `    ULONG Reserved2 ;
    LONG DbgDereferenceCount ;
- }# D5 j- x8 I+ z/ S: W#endif
% d) [- G; b/ c6 y0 M. X} OBJECT_HEADER_NAME_INFO, * POBJECT_HEADER_NAME_INFO;
# l; l, w6 G( w4 C5 ~$ j! B
#define OBJECT_TO_OBJECT_HEADER( o ) \
    CONTAINING_RECORD( (o), OBJECT_HEADER, Body )
) R: ^# F3 |2 q4 t: G- Q' ?$ x
#define OBJECT_HEADER_TO_NAME_INFO( oh ) ((POBJECT_HEADER_NAME_INFO) \
: g) p8 }/ k0 g    ((oh)->NameInfoOffset == 0 ? NULL : ((PCHAR)(oh) - (oh)->NameInfoOffset)))

+ m, P7 h! k, N' atypedef struct _DEVICE_EXTENSION
{
" ~: a8 w  J9 O" W9 F. |5 }    PDEVICE_OBJECT DeviceObject;
    PDEVICE_OBJECT TargetDevice;
! p$ Q3 b% z' A9 }& E    PFILE_OBJECT pFilterFileObject;
# I) M3 B0 W/ ?% [1 W( r" D' D6 Q    ULONG DeviceExtensionFlags;
6 J# [1 p2 w! w6 r    LONG IrpsInProgress;
( O2 y0 {! b" o$ V; i: N    KSPIN_LOCK SpinLock;
}DEVICE_EXTENSION, * PDEVICE_EXTENSION;
7 z5 s- f, E; x* D3 X: A

VOID
KeyDriverUnload( PDRIVER_OBJECT KeyDriver );

BOOLEAN
CancelKeyboardIrp( IN PIRP Irp );

extern POBJECT_TYPE* IoDriverObjectType;
0 P0 Y  L# j( d3 H0 g+ r
- Z) x! n2 ~: Q: o: i' z% N) mNTSYSAPI
NTSTATUS
NTAPI ObReferenceObjectByName( IN PUNICODE_STRING ObjectName,
1 F. x* }" C& \- T, M, a                               IN ULONG Attributes,
                               IN PACCESS_STATE AccessState OPTIONAL,
1 _# k' Q9 P) O0 E, t                               IN ACCESS_MASK DesiredAccess OPTIONAL,
                               IN POBJECT_TYPE ObjectType,
4 E8 D. ]% H8 T% N- F                               IN KPROCESSOR_MODE AccessMode,
                               IN OUT PVOID ParseContext OPTIONAL,
, P* q% C( x' I+ y                               OUT PVOID* Object );
) Q4 g( n: z! j! e# D! }8 ]: w: j
NTSTATUS
GetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject );
: m* r* O. L/ _1 H) |3 A
BOOLEAN
8 j' X* E& l* ?, B7 d1 w/ nGetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj );
2 L! Y2 s6 W! y- m/ q5 r: e+ O, w* r
) C) ?# ?* e3 FVOID
& F* n0 H: i+ |% G5 ~! W) G0 XGetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj );
& b/ M# ?) c5 ~) g2 ^/ \
NTSTATUS
AttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
                                  IN PDRIVER_OBJECT  DriverObject );

4 t6 e& Q  a6 c8 ]NTSTATUS
/ w5 J8 L7 _) J2 _AttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName,
                                  IN PDRIVER_OBJECT  DriverObject,
                                  OUT PDRIVER_OBJECT* FilterDriverObject );
. o6 [: q$ v$ a( y( A( G* I: w
  O( p5 W2 J& c, X3 P5 NNTSTATUS
KeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
+ r* ]* i) ^# M7 K" g8 f7 G                            IN PIRP Irp,
& [0 ?. E- A2 x! S                            IN PVOID Context );
NTSTATUS
1 k$ p$ M9 Q' d( O7 tKeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp );

; n, z: g9 }' q6 KWCHAR szUsbDeviceName[MAXLEN];

1 c. {% V+ [% ~5 C3 X3 G#endif
* u" m8 B6 _2 e; q$ ?9 ~


5 {! M, f# A9 ]! }3 @
# w# O# o  A" i$ X* s& u
WSS(Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安全技术的研究。坚持传统的hacker精神，追求技术的精纯。
WSS 主页：[url]http://www.whitecell.org/[/url]
WSS 论坛：[url]http://www.whitecell.org/forums/[/url]