Как определить активное окно?

Использую драйвер-фильтр клавиатуры, но хочеться знать в каком окне/приложении была нажата/отжата та или иная клавиша. Есть ли в ring0 аналоги GetFocus, GetForegroundWindow, GetActiveWindow? Или может ещё какой-то способ?

 

user32.GetForegroundWindow:
7E41BE4B > B8 94110000 MOV EAX,1194
7E41BE50 BA 0003FE7F MOV EDX,7FFE0300
7E41BE55 FF12 CALL DWORD PTR DS:[EDX]
7E41BE57 C3 RETN


Значит, она есть в Shadow SDT (NtUserGetForegroundWindow). Аттач к csrss + вызов её через int 2e.

Код (Text):

1. __declspec(naked) HANDLE NTAPI NtUserGetForegroundWindow()
2. {
3. __asm
4. {
5.   mov eax, 0x1194     // придется взять из user32.dll динамически
6.   call Int2eCall
7.   retn
8. }
9. }
10.  
11. ...
12.  
13. HANDLE GetForegroundWindow()
14. {
15.   PEPROCESS CsrssProcess = FindCsrssProcess();
16.   KAPC_STATE ApcState;
17.   KeStackAttachProcess (CsrssProcess, &ApcState);
18.   HANDLE hForeground = NtUserGetForegroundWindow();
19.   KeUnstackDetachProcess (&ApcState);
20.   return hForeground;
21. }

предполагается, что Int2eCall и FindCsrssProcess очевидны

 

ага?
а как бы учитывается то, что могут быть фейковые csrss'ы, да и про сессии не надо забывать.

 

ну все-таки не так трудно найти процесс, у которого есть Shadow SDT.

 

Спасибо за ответы, разобрался. Метод предложенный Great'ом в моём случае работает.

 

nrubefil
Можно ли чуть по подробней Int2eCall и FindCsrssProcess, я просто в этом новичёк, а задача передо мной такая же.