Помогите разобраться с драйвером-фильтром

Доброго дня

Подскажите пожалуйста, есть драйвер-фильтр клавиатуры (win32), считывает нажатые клавиши и пишит их в файл.
Есть необходимость различать пользователей, которые в данные момент собственно печатают(имя пользователя, процесс, окно)
Драйвер должен работать в мультипользовательской среда(терминальный доступ и быстрое переключение пользователей).

Короче говоря, есть необходимость определить куда будет отправлена нажатая клавиша, какому пользователю, процессу, окну.

Кто может дать хоть какие нибудь сведенья - откликнитесь.

 

перехватывать intы, но это уж совсем низкоуровне...

Чем не подходит SetWindowsHook из user mode?

А вообще задачка... Хм. Хм.

П.С. если хочешь трояна из 0 кольца, придется винду перековырять по int и какому процессу будет отправлена нотификация.

П.С. П.С. Посмотри в исходниках и инструментах на васме, кажется Four-F что то писал или не он?

 

каким образом

связано с тем что написал ТС?

 

Есть прога такая EliteKeylogger, авторы утверждают что полностью она работает из 0-кольца. Хотим реализовать нечто похожее. юзермодный вариант не подходит - слишком просто)) Щас гляну ваши рекомендации.

 

А что писал TC, киньте ссылку плз

 

тьфу
ну сделайте хук по типу SetWindowsHook токо из ядра

 

А можно немножко подробней на этом месте)))) если не затруднит конечно))

 

Куда уже подробнее? NtUserSetWindowsHookEx

Вообще моё мнение - ваш вопрос вызван глобальным нежеланием что-либо сделать самостоятельно. Содрали код у того же Хоглунда, а как что-то добавить, так облом. Буду рад, если ошибаюсь.

Текущий процесс - вообще тривиально. PsGetCurrentProcess/PsGetCurrentProcessId
Активное окно - NtUserGetForegroundWindow. По Hwnd можно получить процесс/поток с помощью NtUserQueryWindow

 

Это не будет работать.

 

Ну знаете ли)) не все сразу профи становятся. Всегда нужно чтоб кто то дал дельный совет и указал направление

Сейчас направление, в какую сторону копать, примерно найдено..
Благодарю, если есть еще какие мысли буду рад их принять)))

 

Это зависит от того, откуда оно вызывается. Конечно, если в процедуре обработки прерывания вызывать - то работать не будет. Точнее, будет, но будет возвращать процесс System.
В любом случае кода нет. Так что утверждать, что работать не будет, не надо.

 

Приложения не открывают напрямую \Device\KeyboardClass*, соответственно, в фильтре при чтении данных клавиатуры процесс приложения не виден.

 

Спасибо, я в курсе.
Дело в том, что разговор зашёл о глобальных хуках и я усомнился, на самом ли деле это драйвер-фильтр в привычном смысле слова. Типов ядерных кейлоггеров может быть несколько. Я встречал кейлоггеры, перехватывающие функции из теневой таблицы, и вполне справляющиеся с PsGetCurrentProcess. Поэтому и упомянул об NtUserQueryWindow для получения процесса.
Конечно, если это действительно классический драйвер-фильтр, то не подойдёт. Но кода-то нет. Так что нельзя сказать однозначно, что будет работать, а что нет.

 

Можно посмотреть в сторону перехвата NtUserTranslateMessage, там будут уже отмапленные сканкоды и хэндл окна.

 

Да, драйвер-фильтр действительно классический, цепляется над \Device\KeyboardClass*, и просто на данный момент мне не понятно, можно ли вообще по данной схеме получить данные о месте назначения скэн-кодов.

Меня))) терзают смутные сомнения, что скэн коды-полученные на данном этапе очень сложно потом пристыковать к их месту назначения....

Если я не ошибаюсь, то вероятно необходимо отойти от класической схемы фильтра, и делать что то более сложное.

Выскажите ваше мнения, благодарю

 

Совершенно верно.

Думаю, Shadow SDT хук тут самое оно будет. Выше уже подсказали про NtUserTranslateMessage().

 

Спасибо всем большое

 

помнится я так когда-то делал, из перехваченного обработчика IRP получал текушее окно ( в этот момент мы выполняемся как-раз в нужном контексте ), все работало отличненько, только вместо NtUserQueryWindow там юзался другой метод, но с NtUserQueryWindow наверно даже лучше ). Только ж не из CompletionRoutine

 

Уважаемый wf_, а подскажите пожалуйста примерную схему работы после перехвата IRP, только не сильно пинайте)))) дальше сам разберусь.

 

x64

а ее нельзя не как обойти из юзер мода? может есть альтернативный способ получения сообщения? и еще а как добавить сообщение в очередь? можно конечно создать свою фейковую очередь, но не хотелось бы