Помогите разобраться с драйвером-фильтром

Уважаемые, подскажите пожалуйста определение NtUserTranslateMessage, какой у нее перечень входных параметров, что то в инете искал ничего нет похожего, может не там искал конечно))) если не сложно бросьте заголовок этой функции

 

reactos говорит
BOOL
NTAPI
NtUserTranslateMessage(
LPMSG lpMsg,
HKL dwhkl );

 

А второй параметр куда кажет?? и что это

 

поиск дает следующее:

http://msdn.microsoft.com/en-us/library/aa383751%28VS.85%29.aspx

 

Благодарю

Еще вопросец.

На сколько понял NtUserTranslateMessage, перехватывать нужно не из SDT, а из SDT shadow, так как процессы GUI. соответственно нужно аттачиться к процессу. Это верно?? пните в нужное направление))

 

Тогда получеатся что второй параметр - это ничто иное как хэндл окна, верно??

 

Тупишь вообще дико. Про второй параметр уже сказали, а хендл окна у тебя в lpMsg->hwnd будет.

 

Все понял, благодарю, а то что туплю)) знаю, поэтому и спрашиваю

 

Уважаемые, подскажите все таки, как коректно сделать перехват NtUserTranslateMessage, из какой такблицы ее необходимо перехватывать из KeServiceDescriptorTableShadow или KeServiceDescriptorTable. Вопрос возник по причине того что сервис из win32..

 

Беда Ваня.
Тебе нужна KeServiceDescriptorTableShadow.
Она не экспортируется, но найти легко. Имхо самый простой способ - разбор KeAddSystemServiceTable. Но вообще вариантов много.
Номера сервиса NtUserTranslateMessage отличаются в зависимости от сборки. Можешь анализировать код user32.dll (ф-и TranslateMessage и TranslateMessageEx в более свежих ос) динамически, если есть чем, а можешь, как самый простой вариант - табличку составить и выбирать номер сервиса в зависимости от номера сборки.
Если ты пишешь коммерческий продукт, то при перехвате функций нужно обязательно осуществлять валидацию параметров, если PreviousMode это UserMode.
Иди в общем, разбирайся.

 

С таблицами разобрался уже, а вот за информацию про меняющиеся номера сервиса NtUserTranslateMessage, отдельное спасибо))

 

x64
вы в курсе по моему вопросу?

 

Ну если первую часть вопроса я ещё как-то понял, то вторую, честно говоря, не очень. По поводу "обойти" читаем описании TranslateMessage():

Другими словами, в общем случае перехвата NtUserTranslateMessage() не будет достаточно. Лучше всего попробовать сделать это через NtUserGetMessage():

Хотя мне всё таки кажется, что для большинства приложений должно хватить и NtUserTranslateMessage(). Пробуйте. По поводу добавить сообщение в очередь не понял, а в чём проблема-то собственно? Очередь есть у каждого UI-потока. Чтобы добавить сообщение в очередь для конкретного потока, существует сервис NtUserPostThreadMessage():

 

Перехваты в сст умерли. Мб пониже шадова следить за клавой ?
x64

Собственно ось не заканчивается на документации, в частности мсдн. По этой причине ваши взгляды не верны. Можно внутрь фунок загрянуть, это не чёрный ящик.

 

Может быть, ну, называй.

 

просто где-то (на форуме, и не однократно, да и проверял вроде) проскакивала инфа, что с помощью хука можно различать настоящие сообщение от того которое послало другое приложение. или это к нативной NtUserPostThreadMessage не относиться?

 

If hWnd is -1, GetMessage retrieves only messages on the current thread's message queue whose hwnd value is NULL, that is, thread messages as posted by PostMessage (when the hWnd parameter is NULL) or PostThreadMessage.

 

тьфу, бред скопировал )

 

x64
http://wasm.ru/forum/viewtopic.php?id=28972
нашел ) еле как.

SEA

это про SendInput, а про отправку сообщений и определение "кто отправлял" в первом посте

 

0xFox, к сожалению коды те потерялись где-то, но вот тема которая мне тогда очень помогла http://www.wasm.ru/forum/viewtopic.php?id=27397