[转载]支持 PS/2 与 USB 的键盘过滤驱动(可卸载) -- by sinister

bini

Author:  sinister
Email:   [email]sinister@whitecell.org[/email]
9 c2 ]% t) r; G( U& mHomepage:[url]http://www.whitecell.org[/url]
1 U  x* m1 g9 d. ^6 y: ~Date:    2007-02-26


/*******************************************************************
# E% Q" @8 u" g$ q
- U1 d9 R! d* T! r( V/ T6 w这个键盘过滤驱动是一个定时锁定计算机程序的功能部分，以前 lgx
$ m: Z  L) x  Y9 l写过一个 linux 版，现在我们需要实现一个 windows 版。这部分的
功能要求如下：

9 H: o* n8 [% b! V1、强制锁定键盘/鼠标。
$ {" O1 E! K. H) r6 r8 b2、可动态加/解锁
9 I) D& Y4 W4 A- w3、兼容所有 NT 系列的操作系统。
0 L7 B1 ?/ a- W% c
5 j! a* _5 [6 s0 T! J4 ]2 o2 j0 j就这个需求而言，能马上能想到的就有7，8种方案，这些方案可以说都能够实
现，但如何更合理，更稳定、更彻底的实现，如何尽量少的消耗系统资源，如
' {7 l9 ^# K- L何保证其兼容性，等一系列问题不得不让我们去重新评估这几种方法。首先在
5 l2 I9 b0 x1 q; ]上层实现，一是怕被饶过，二是怕调用频繁影响系统性能。在底层实现，一是
4 w$ e& M/ h$ @$ F$ M3 ]怕考虑不周有兼容性问题，二是怕过多使用未公开方法导致系统不稳定。下面
就来看一下我想到的几种实现方法：
& v- F, e1 o' F9 B: G) O0 `% a
1、全局键盘/鼠标钩子
2、BlockInput() API
, C0 O3 S; `5 O6 k& y  E1 k1 |4 K3、使用 setupapi 进行控制
4、全局键盘/鼠标钩子+远线程插入 WINLOGON 进程屏蔽 CTRL+AL+DEL
3 `9 b/ P! q$ d; I4 J4 w- }5、拦截 win23k!RawInputThread() 函数
6、修改 DDK 中自带的 kbfilter 的键盘(Port Driver)过滤驱动
7、拦截 kdbclass 驱动的 driver dispatch routine
8、实现一个 PS/2 与 USB 键盘过滤驱动

1 o% A6 I' p9 ]- b; x2 l7 A
& i; }, n9 A9 O我们先看一下以上这些方案的实用性与通用性。第1，2套方案不在考虑
之内了，因为有办法解锁，屏蔽不了 CTRL+ALT+DEL 组合键。第3套方
) h1 l: J8 Z% N0 U. q1 d案经过我的测试使用 Keyboard 的 CLASSID 不是什么环境都好使，存在
2 w& t" A: D" l兼容性的问题。第4套方案系统效率会大大降低，而且存在很多不稳定因
& B) b/ p4 \' L- u2 ^1 K# F素，对于全局钩子这种东西我一直很排斥。第5套方案，同样存在兼容性
问题和不稳定因素。第6套方案看似完美，但无法实现动态卸载，无法卸
载就意味着你需要一个开关来控制是否锁定，这样还要与应用层通讯，我
的目的是不让应用层与驱动有任何交互。且使用 WDM 形式这种安装起来
8 N" u7 E; e; m& w  i1 L4 W  K也很麻烦，要么 INF 要么自己 setupapi，这都不是我想看到的，还有如
! K: c0 d( K" M果仅为实现这么一个功能，就让一个核心驱动一直存在系统中的话，我有
障碍。第7套方案看似实现起来很简单，其实有很多问题。如仅是拦截
( k" Z* x8 h  X% P- y. L! O5 O& tIRP_MJ_READ 并粗暴的返回拒绝后，系统无法恢复到初始状态。且对于
USB 键盘存在兼容性问题。那么最后只有自己实现一个 PS/2 与 USB 键
盘过滤驱动了，既然要实现这么一个驱动，那么就必须能实现到第6套方
1 A8 F7 U4 @) G, c1 j案的全部功能且不存在它所带来的问题，否则就没有什么意义了。


我们都知道实现一个可直接使用 SERVICE API 来动态装载的 KMD 键盘过
2 D; [2 Q1 E8 M0 {# I滤驱动，首先需要先 ATTACH 到 \\Device\\KeyboardClass0 设备上再进
/ P( n" M1 P! d6 S" b行按键过滤。但如果仅 ATTACH 这个设备的话，会存在很多问题，那就是
+ V6 M+ R  v) u只能过滤到 PS/2 键盘，而对于使用 USB 键盘的机器毫无作用。现在越
来越多的品牌机都预配的是 USB 键盘(如：DELL)。大家可能会想，从
KeyboardClass0 一直到 N 都 ATTACH 不就可以了么？总有一个是 USB
* x8 |+ R, K2 V' ?键盘设备，经过实践这是不可行的，只要是 USB 键盘设备的话，在使用
, k) s. R9 ]7 ]* A5 m% A8 a' JIoGetDeviceObjectPointer() 函数从设备名得到设备对象都会获取失败，
- R: Z- d& O6 p* L% n, @我还曾尝试使用 USB 键盘设备名来转换，还是一样失败。还有一个问题
* J* X$ @8 D" N$ W1 r; E  J9 a就是 USB 键盘设备不是都有名称的，即使有它的名称也都是动态生成的
) Q: M2 I0 W* _! ~0 w' o( a" N6 M而不是固定的。那么这就带来了一个问题，既然系统提供的函数无法使
% b" H" ~9 ^& b# V用，且我们又是为了动态安装/卸载，使用的是 KMD 类型驱动，无法通
4 U- Y/ C; @) v5 H% n& _8 |过 AddDevice 例程来获得 USB 键盘的设备对象进行挂接。那么如何来
/ r9 R0 Q( G3 Q屏蔽 USB 键盘按键？要达到这个目的只有自己分析下 USB 协议栈，通
, n2 Z. R( |; t' E! I! S" d' F过使用 DriverTree 观察发现，所有 USB 外设都挂在了 \Driver\hidusb
上面，USB 键盘驱动名为 \Driver\kbdhid，而它则是 \Driver\kbdhid
的一个 FilterDriver，且这个 \Driver\kbdhid 没有设备名称，也就意
味着，我们无法 IoGetDeviceObjectPointer() 得到设备对象并 ATTACH。
  M9 N' `, M% g* ^1 n经过对多个系统多台使用 USB 键盘机器的分析，可以确定让我使用它们
- S8 r' |4 y/ h2 L. v* a7 e- T7 g来作为得到 USB 键盘设备的依据。（这里仅是对 USB 键盘设备很功利
的分析，如果想了解 WINDOWS 的 USB 设备栈如何组建，请阅读 tiamo
# a( W8 z. Z( R6 n的 《Windows 的 USB 体系结构》。在此向所有公开研究成果的人致
敬！）有了这些依据，下面就没什么好说的了，自己遍历 USB 设备栈，
根据驱动名称获得 USB 设备对象，然后 ATTACH，过滤按键。具体流程
见下面代码。
6 x5 G0 \* L% [( {7 V
/ O  L2 p9 k8 q5 T' B这里有必要说下动态卸载，我尝试了两种方式，一种是在 UNLOAD 例程
5 t- C+ @$ ]/ ^' \; o' M, V! T3 \里直接取消 IRP，这种方法在 W2K 系统下，无论是 PS/2 还是 USB 键
盘都可以很好的实现。但在 XP/2003 系统上则无法成功，在 XP/2003
上暂时使用一个 IRP 计数器，在 UNLOAD 例程里判断如果还有一个没有
2 [" K8 x% k$ n% S% Z完成的 IRP 则等待，这样的话，需要在 UNLOAD 后用户按下任意键才可
继续，虽然能够安全卸载但还需要一次用户介入。考虑实现的仅是一个
. C- Y0 O2 M# e' P2 D锁定功能，这样也算是能够忍受了。以后考虑在驱动中直接模拟用户按
2 A  b7 m  K$ a( |1 p( r键来实现，当然这种按键要有通用性和兼容性，支持 PS/2 与 USB 键盘。
( q6 d7 ?. f! a, L9 M

完成了上述工作后看起来好象完美了，其实不然，当你屏蔽了当前使用
的键盘时别忘了还可以再插入一个 USB 键盘，而后续插入的这个键盘是
. m) F5 k' w: a可以被识别的。这就需要我们处理 IRP_MJ_PNP 选项，对其中我们有兴趣
/ y' X8 q8 T. G9 e. W5 B0 U: p- J& }! c的 IRP_MN_XXX 做相应处理，可以处理 IRP_MN_START_DEVICE，在这时我
们动态挂接。还可以处理其他的 IRP，索性返回错误，让识别失效。但我
们的驱动是 KMD 类型，只要加上一句对 DriverObject->DriverExtension
->AddDevice 的赋值操作则无法直接使用 SERVICE API 来动态加载了。
9 `$ Z+ f( i; Y4 \4 b( w. B: ^: |如何保持 KMD 又可以获得 PNP 的处理权呢？这可能要直接对 PnpManager
进行操作了。这个问题有待大家来完善了。


要问为什么把文章插在代码当中，那可能是我觉得，既然把全部代码都贴出
! n; M3 @5 [) g% A3 z7 f来了，写文章就不如直接看代码来的真切。我这里所写也仅仅是对这些天的
分析做个记录而已。我更愿意把它看做是一段注释。

最后在此代码中要
; z) _( i- e) E
2 ~+ N3 W0 I* D" O感谢：PolyMeta，他在放假前提醒我 USB 键盘的不同。
3 [9 r" Z% n( G4 s
" b) b) K6 e% z- |$ ~! N9 r% N感谢：lgx，过节前给我找了些事，以至于没有让我觉得过节那么无聊。
0 I/ X  |1 D- X" X% u1 M$ v3 X9 Q
$ V! d, h9 \/ N0 l感谢：齐佳佳，过节请我吃好吃的。
/ o3 K5 d" B6 ~3 x5 s
3 W3 W2 W8 [7 J8 x- U) o
******************************************************************/
9 X; V/ |5 @9 ]! \
  {8 a! |- S: }& v& B" A1 J7 E2 G
7 `. M8 A: k) ~6 r/*****************************************************************
0 Z1 M& F! W1 E$ J  r 文件名        : WssLockKey.c
描述          : 键盘过滤驱动
4 C- {  f8 G6 ?1 H0 r, e  V 作者          : sinister
. A# U* Q( j- _ 最后修改日期  : 2007-02-26
# A* V! ~% `( l! T, o/ S*****************************************************************/


) @4 ?& d& y" U$ |6 J8 M- d& i#include "WssLockKey.h"

NTSTATUS
/ k9 V9 L8 w# \6 |% gDriverEntry( IN PDRIVER_OBJECT KeyDriverObject,
             IN PUNICODE_STRING RegistryPath )
{
  UNICODE_STRING KeyDeviceName;
4 R/ Z# E+ D9 W, V  PDRIVER_OBJECT KeyDriver;
0 \1 D0 o$ F4 b9 T0 q  PDEVICE_OBJECT UsbDeviceObject;
  NTSTATUS ntStatus;
  ULONG i;

) P# l  x: Y( {* Z7 }  //
  // 保存设备名，调试使用
  //
. P' u3 l* f3 j* K2 ^/ S! P  WCHAR szDeviceName[MAXLEN + MAXLEN] =
, }! h$ d( ~% M/ L1 U  {
    0
  };
1 _! L& `% Q9 g! v
  KeyDriverObject->DriverUnload = KeyDriverUnload;

5 U+ G1 H* d( A  //
  // 先尝试获得 USB 键盘设备对象，如果成功则挂接 USB 键盘
3 a1 R; R1 J) d/ V  //
  // 注意：因为 USB 键盘设备名不固定，且即使得到名称也无法
$ q% v% {+ G8 E$ K, m, R  // 使用 IoGetDeviceObjectPointer() 函数根据设备名称得到其
  // 设备对象，所以这里我们只能自己枚举 USB 设备栈，并得到
& G8 U8 L+ b" _+ K/ S1 M  // USB 键盘设备来进行挂接
  //
; A2 m( ~4 b% E- t" u2 p0 L  ntStatus = GetUsbKeybordDevice( &UsbDeviceObject );
1 @1 g5 @, b" `% S0 b' P( c. l  if ( NT_SUCCESS( ntStatus ) && UsbDeviceObject != NULL )
  {
% G( {* [$ ?' d7 |7 G    //
    // 调试使用，USB 键盘设备 kbdhid 没有设备名只有驱动名
    // 所以这里打印为空
    //
' B7 M( {0 }# t! l3 v( R    RtlInitUnicodeString( &KeyDeviceName, szDeviceName );  // USB KEYBOARD
    DbgPrint( "KeyDeviceName:%S\n", KeyDeviceName.Buffer );
% D; q3 `% n" }: b6 R/ W
    //
    // 挂接 USB 键盘设备
. O- ^  F, U! W) h    //
- X7 }0 Q! E8 b* i. x& J    ntStatus = AttachUSBKeyboardDevice( UsbDeviceObject, KeyDriverObject );
    if ( !NT_SUCCESS( ntStatus ) )
: Z- a0 P+ ^% f    {
      DbgPrint( "Attach USB Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
    }
% R! j/ D# m+ z+ n  }
  else
  {
, p" K* J* X' V' b# v    //
    // 如果没有 USB 键盘，则尝试挂接 PS/2 键盘设备
1 w% h0 ^0 X0 h7 Q, k. E    //
2 M: R4 g8 ^) c1 D2 B# Y6 I    RtlInitUnicodeString( &KeyDeviceName, PS2KEYBOARDNAME );
% A. j; \$ P  G6 i) o2 E
; v5 T: ?. ?* o: m1 c    ntStatus = AttachPS2KeyboardDevice( &KeyDeviceName,
2 O7 ]! Q& u3 \" A* o$ M                                        KeyDriverObject,
                                        &KeyDriver );
  I" k. p1 {- _, l" m* z" ]* ^    if ( !NT_SUCCESS( ntStatus ) || KeyDriver == NULL )
& |" Z/ \8 r$ B6 H% b" D$ F    {
      DbgPrint( "Attach PS2 Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
    }
  }

  //
' g( X1 o0 W) E4 |  // 这里没有过滤其他例程，仅处理了按键操作。这样处理会禁止
5 T( g' ^( l: @$ M- G& |/ G  // 休眠。因在锁定时不允许休眠，所以也就无须处理其他例程
  //
7 v1 G. `! [" S  KeyDriverObject->MajorFunction[IRP_MJ_READ] = KeyReadPassThrough;
' P( n/ R" ~7 B  U0 N9 f4 ^5 {
# }' a7 I/ B% a4 i+ U" y* x  return STATUS_SUCCESS;
}

9 p0 a' T! K+ S3 ]/////////////////////////////////////////////////////////////////
1 ^; |! e# z' B! W, J// 函数类型 : 系统函数
// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
// 功能 : 尝试取消队列里的异步 IRP，如果失败则等待用户按键，
: R; S' V, g0 ?//        卸载键盘过滤驱动
// 注意 : 取消 IRP 操作在 2000 系统上可以成功，在 XP / 2003 上
//        则需要等待用户按键，以后有待完善
/////////////////////////////////////////////////////////////////
# j4 D5 V. G) g// 作者 : sinister
// 发布版本 : 1.00.00
- x6 t7 ^' i+ a0 k  |' }. v// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
' T  z$ A  v- [% r) h// 修改者 :
( Y6 j3 w: L! |// 修改日期 :
8 f( `: Y3 p4 a+ C// 修改内容 :
/////////////////////////////////////////////////////////////////

% o, @% M( F9 u9 a7 U* q: sVOID
KeyDriverUnload( PDRIVER_OBJECT KeyDriver )
{
2 `8 l6 M# G- k8 H. ]: v  PDEVICE_OBJECT KeyFilterDevice ;      
/ X! s3 b2 P6 w  u  PDEVICE_OBJECT KeyDevice ;
  PDEVICE_EXTENSION KeyExtension;
  PIRP Irp;
$ P, c3 g; S7 d  NTSTATUS ntStatus;
4 {7 q2 C/ Y: S( Z% p% A
  KeyFilterDevice = KeyDriver->DeviceObject;
$ M- T3 H4 E+ ^% T6 N& ?  KeyExtension = ( PDEVICE_EXTENSION ) KeyFilterDevice->DeviceExtension;
  KeyDevice = KeyExtension->TargetDevice;

  IoDetachDevice( KeyDevice );
. c3 n( ~% b2 I% Y9 v
. {1 f: J8 t2 p! \8 {. Z- q  //
: N9 v$ ?7 b3 k  // 如果还有 IRP 未完成，且当前 IRP 有效则尝试取消这个 IRP
  //
8 N3 f7 E# Y" N4 v  if ( KeyExtension->IrpsInProgress > 0 && KeyDevice->CurrentIrp != NULL )
' f1 r4 [  u  \1 |3 g4 m  {
- ?# P% o6 W9 D4 |4 S* v% g    if ( CancelKeyboardIrp( KeyDevice->CurrentIrp ) )
    {
, q3 Z$ x8 _3 j6 U3 U3 s5 S4 {      //
2 ?- N7 j! o' n5 Z; Q) t2 Q' U0 `      // 成功则直接退出删除键盘过滤设备
  u* e7 a. A$ d# r+ r- v- C      //
      DbgPrint( "CancelKeyboardIrp() is ok\n" );
      goto __End;
/ V3 I4 n$ I- g5 K! n$ X: z% B    }
  }

  //
  // 如果取消失败，则一直等待按键
- Z; f- Z- Y5 r  //
  while ( KeyExtension->IrpsInProgress > 0 )
$ m& z7 X* r" F  \& _2 ]  {
    DbgPrint( "Irp Count:%d\n", KeyExtension->IrpsInProgress );
% X5 J5 U- p3 A7 U+ r  }
# q# u7 _1 V9 b! p( b/ u, W
  __End:
: g# A" d/ p2 h/ p' S2 k, ~  IoDeleteDevice( KeyFilterDevice );

% N; v; O, h: q% O% t  return ;
}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
6 ]3 g% |' H5 s* \4 Y4 d// 函数模块 : 键盘过滤模块
2 W3 Z! q3 `! c$ j/////////////////////////////////////////////////////////////////
// 功能 : 取消 IRP 操作
// 注意 : 这个函数仅是为配合在 UNLOAD 例程使用，其他例程中不能
; V( M9 T: A6 H: U1 b: F% @" N//        使用此方法来取消 IRP
4 D. G$ ^% C) c. y% c/////////////////////////////////////////////////////////////////
// 作者 : sinister
/ g3 v: h& [3 j+ `% K// 发布版本 : 1.00.00
// 发布日期 : 2007.02.20
; C/ W- U3 K# u% y/////////////////////////////////////////////////////////////////
0 S  Y+ i6 s5 O- {# G4 d// 重   大   修   改   历   史
1 U1 O0 S$ E4 \( O2 e/ T/////////////////////////////////////////////////////////////////
% R& F! l9 }( ~// 修改者 :
// 修改日期 :
" a: x0 y" R, Y- H  C. P1 J; u// 修改内容 :
$ B- ~5 ^& h2 L/////////////////////////////////////////////////////////////////
) y1 V* S- \4 q. k0 Q! _! r
BOOLEAN
  R  g4 A2 G  \- sCancelKeyboardIrp( IN PIRP Irp )
{
. ^' R& @8 r0 U. }- z  if ( Irp == NULL )
" ?/ t9 Z3 ^& u" O, U: A5 ^  {
    DbgPrint( "CancelKeyboardIrp: Irp error\n" );
    return FALSE;
8 G7 a" a7 }6 t5 j) V  }
. b3 b. `; V( Q- F

7 a0 l$ f# \( ]* ]  //
  // 这里有些判断应该不是必须的，比如对 CancelRoutine 字段，
  // 因为 IoCancelIrp() 函数中有判断了。但只有偏执狂才能生存 :)。
# _2 ]  Y& ?, r; y+ d  [  // 小波说 低智、偏执、思想贫乏是最不可容忍的。我这一行代码就占
" A9 K2 k% c8 G1 x% t  // 了两条 :D，不知 xiaonvwu 看过后会作何感想？:DDD
0 W  k4 g7 K$ c' F  //
3 o6 N# j$ Q) F" I+ ?$ L
) t4 f4 z* P/ ]  n2 k' U1 {  //
  // 如果正在取消或没有取消例程则直接返回 FALSE
  //
6 R2 P- O: L0 B- Q, p6 p  if ( Irp->Cancel || Irp->CancelRoutine == NULL )
  {
    DbgPrint( "Can't Cancel the irp\n" );
    return FALSE;
  }

" C. g# s' T) B: p  if ( FALSE == IoCancelIrp( Irp ) )
! _" }9 k9 S8 r  {
    DbgPrint( "IoCancelIrp() to failed\n" );
    return FALSE;
  }

" _6 F3 }6 t, @$ Q! U* F. [* j. @! q' y  //
  // 取消后重设此例程为空
3 R9 y- s( s( E4 H  s  //
9 w0 d; Y& J/ D3 N( a9 ~% S  IoSetCancelRoutine( Irp, NULL );

/ u. j) Q" J( V& {. @  return TRUE;
2 Z5 [) `- G! D) C7 A}

/////////////////////////////////////////////////////////////////
, i0 M6 V7 t9 x+ B+ S1 P// 函数类型 : 自定义工具函数
  t% A) k& N( _3 \// 函数模块 : 设备栈信息模块
/////////////////////////////////////////////////////////////////
// 功能 : 遍历 DEVICE_OBJECT 中 AttachedDevice 域，找到 USB 键盘
//        设备上名为 kbdhid 的过滤驱动（Upper Filter Driver）
// 注意 :
  T' c8 j. Z% f5 l/////////////////////////////////////////////////////////////////
- F( i9 L0 ?: R4 }// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2005.06.02
/////////////////////////////////////////////////////////////////
7 i; U4 o; v& a  T/ i1 X// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
// 修改者 : sinister
// 修改日期 : 2007.2.12
0 D' T7 b: [$ |3 Z! F( |1 ~7 L// 修改内容 : 为匹配 USB 键盘驱动做了相应的修改
1 u% `, |8 {9 V* B" x0 G5 V5 g/////////////////////////////////////////////////////////////////

5 L: n# F) C% g$ I1 ]7 [5 }BOOLEAN
& M4 V" o2 B% G7 r8 PGetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj )
{
  PDEVICE_OBJECT DeviceObject;
  BOOLEAN bFound = FALSE;

1 c" i2 ^# \$ C, i  ?2 h  if ( DevObj == NULL )
1 z& [/ B7 L; t5 B  {
& R1 l& `4 h( i% T    DbgPrint( "DevObj is NULL!\n" );
    return FALSE;
  }
, K2 ~( W1 B& Q4 n. t( d
  DeviceObject = DevObj->AttachedDevice;
- U/ ]. i2 y% a- H+ G0 q
4 u1 b- O. w4 Q/ f  while ( DeviceObject )
: j0 B) v" Y& s4 k8 K9 f  {
, m- v- \( \4 s, P    //
    // 一些 OBJECT 的名称都存在分页区，虽然大部分时候不会被交换出去，但
    // 有一次足够了。这算是经验之谈
5 V3 m$ ]% Y0 U9 e7 g& i  t    //
) p1 J( |( x) Y. R$ O9 P    if ( MmIsAddressValid( DeviceObject->DriverObject->DriverName.Buffer ) )
$ p" V3 Z# v; s- }3 \    {
      DbgPrint( "Attached Driver Name:%S,Attached Driver Address:0x%x,Attached DeviceAddress:0x%x\n",
1 O( M% u/ P  x; D$ Y$ Q                DeviceObject->DriverObject->DriverName.Buffer,
                DeviceObject->DriverObject,
                DeviceObject );

4 U5 z! k/ E* W  p- A* Y  G      //
* J) n* i1 G/ q$ E3 Z      // 找到 USB 键盘驱动的 kbdhid 设备了么？找到了就不继续了
  y3 u4 K: M2 K3 F; y      //
  k- G, i/ y, \# [$ o      if ( _wcsnicmp( DeviceObject->DriverObject->DriverName.Buffer,
+ R8 G, ^$ J& d1 _/ `                      KDBDEVICENAME,
" N! i% S3 r( u/ K1 C1 _                      wcslen( KDBDEVICENAME ) ) == 0 )
( Z- h/ D0 x2 J/ K4 }& n      {
& [# [( W! Q( T1 A+ ^( {        DbgPrint( "Found kbdhid Device\n" );
3 w2 _  [2 S3 H. C! I# \2 v6 d        bFound = TRUE;
7 t6 }5 z3 G; x6 ]. u1 n" A8 d        break;
      }
    }
" l9 S( K. y* H- G; u
; \( A5 u0 j* a, R! E    DeviceObject = DeviceObject->AttachedDevice;
  }

  return bFound;
}

/////////////////////////////////////////////////////////////////
/ X0 w4 V( T, h3 I  E// 函数类型 : 自定义工具函数
  H1 h8 j; p( k  Y// 函数模块 : 设备栈信息模块
/////////////////////////////////////////////////////////////////
3 a& f& ?* H& @8 w) S' }4 U// 功能 : 从 DEVICE_OBJECT 中得到设备与驱动名称并打印地址
2 r& ]0 l! z9 H: e( _// 注意 : 函数功能只是打印信息，不同环境使用中应该会做修改
  C9 J: Z6 I% d# |: }  T! ?/////////////////////////////////////////////////////////////////
  {- y5 Z# @& q1 N3 {: _// 作者 : sinister
3 ?6 T8 j: ~$ x( y// 发布版本 : 1.00.00
9 Y/ @' E+ N4 p; I// 发布日期 : 2006.05.02
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
/ d* F2 V  ?! g3 h/////////////////////////////////////////////////////////////////
- B! W$ m' P2 p6 I5 Z// 修改者 : sinister
// 修改日期 : 2007.2.12
// 修改内容 : 打印出 USB 键盘驱动的设备名称，仅作调试使用
* T' t; `; s; b6 [/////////////////////////////////////////////////////////////////

7 O7 _6 a4 l) u4 d! pVOID
GetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj )
{
  POBJECT_HEADER ObjectHeader;
+ f6 q3 U! d9 N1 u8 O  POBJECT_HEADER_NAME_INFO ObjectNameInfo;
  Q! s$ t$ m; p" A
8 q7 M7 Y8 W; l3 Z0 ]  if ( DevObj == NULL )
  {
    DbgPrint( "DevObj is NULL!\n" );
    return;
  }

+ Q6 e4 P, B* o5 t" q" ]3 U  //
' Q1 ~# v7 s# k& W7 R  // 得到对象头
  //
  ObjectHeader = OBJECT_TO_OBJECT_HEADER( DevObj );
( b! R: G; N3 L
  if ( ObjectHeader )
6 [' |: v7 }/ I% N; t! j- z. m  {
$ B/ T0 J0 J( V    //
& V6 O" e) h4 [8 J$ y# w    // 查询设备名称并打印
  Z/ b1 K; X  Y& ]9 J    //
    ObjectNameInfo = OBJECT_HEADER_TO_NAME_INFO( ObjectHeader );

( [/ o5 c) L4 M    if ( ObjectNameInfo && ObjectNameInfo->Name.Buffer )
3 ]% P7 u" `8 M) u    {
( \/ \. h& e" _+ K0 @3 ?; V      DbgPrint( "Device Name:%S - Device Address:0x%x\n",
0 T) X: O: v. W* q                ObjectNameInfo->Name.Buffer,
  b$ J' R0 J/ ~" z                DevObj );

8 B! A' u, p$ D7 L: {      //
      // 复制 USB 键盘设备名到一个全局 BUFFER 里，为调试时显示
      // 用，没有实际的功能用途
      //
$ |! K6 n' H; B! R6 H      RtlZeroMemory( szUsbDeviceName, sizeof( szUsbDeviceName ) );

5 d5 u' z" E7 X6 g* ~5 x8 ?# p! h      wcsncpy( szUsbDeviceName,
               ObjectNameInfo->Name.Buffer,
. \: f4 B  w( F! S7 \6 D! K  s               ObjectNameInfo->Name.Length / sizeof( WCHAR ) );
! \! }6 k7 }9 d$ ~5 C& V    }

    //
3 G1 v( a9 V& B    // 对于没有名称的设备，则打印 NULL
    //
    else if ( DevObj->DriverObject )
' f% P$ W8 [" w. @) q/ g    {
      DbgPrint( "Driver Name:%S - Device Name:%S - Driver Address:0x%x - Device Address:0x%x\n",
: p. L& r9 I' T! v; ~                DevObj->DriverObject->DriverName.Buffer,
                L"NULL",
                DevObj->DriverObject,
                DevObj );
    }
+ ?' l1 C+ j: ]) [6 A  }
}

( V: Q2 `1 M# I9 g% ?/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
// 函数模块 : 键盘过滤模块
/////////////////////////////////////////////////////////////////
// 功能 : 得到 USB 驱动 hidusb 的驱动对象，并遍历以上所有设备
3 ?7 N6 r5 f6 B5 {//        对象，过滤出 USB 键盘设备，将其设备对象返回
// 注意 :
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2007.02.13
0 X) G! E& z8 d/////////////////////////////////////////////////////////////////
0 {4 o: N2 G/ O$ }// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
// 修改者 :
, s; Q3 b( K8 Y  f// 修改日期 :
# r& F9 ]& C* e5 [' t# A* `* _// 修改内容 :
/////////////////////////////////////////////////////////////////
% w8 I; |" I# O  U7 {: f4 d- e
NTSTATUS
+ b! x) J- }8 f  ]/ WGetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject )
{
  UNICODE_STRING DriverName;
, u* u6 H; j) A0 f4 W2 P% V  PDRIVER_OBJECT DriverObject = NULL;
  PDEVICE_OBJECT DeviceObject = NULL;
- e7 Y. q: h/ Z! t: g) A( y* x  BOOLEAN bFound = FALSE;

4 S6 I6 v7 v7 M0 L5 L+ o3 ^+ y  RtlInitUnicodeString( &DriverName, USBKEYBOARDNAME );

# H# r3 F! K0 L6 J% I. B+ a  ObReferenceObjectByName( &DriverName,
                           OBJ_CASE_INSENSITIVE,
                           NULL,
* ?7 L& P& |- Q+ w1 V                           0,
                           ( POBJECT_TYPE ) IoDriverObjectType,
                           KernelMode,
                           NULL,
. W6 L0 Z4 F# F& `                           &DriverObject );
% j+ v2 ~+ {$ P6 W2 O% R4 E' }
  if ( DriverObject == NULL )
  {
) P/ W3 m$ E% a: ]& A* h    DbgPrint( "Not found USB Keyboard Device hidusb!\n" );
    return STATUS_UNSUCCESSFUL;
  }

  j4 d$ I, b; {. F  DeviceObject = DriverObject->DeviceObject;
$ C, h- P# y/ p0 L5 V* W. x
. ~. Y) u* N6 P- K  while ( DeviceObject )
/ S- ^$ b# n# K; M  {
    GetDeviceObjectInfo( DeviceObject );
) N3 }' w- L$ ^0 c! I
# o$ B8 x% H" ?/ I  q    if ( DeviceObject->AttachedDevice )
" ^- X' {$ ?* F+ T7 }    {
7 u! E% L! G7 c" t) k# E. C      //
      // 查找 USB 键盘设备
      //
' F$ g7 e8 t+ g6 r, \, m3 _      if ( GetAttachedDeviceInfo( DeviceObject ) )
. T% i8 T5 k9 n" o& o      {
3 C- k) `2 G8 ^" u        bFound = TRUE;
2 \* ]+ [5 H. S; |- i  |  z. i% d        goto __End;
, C( V" w6 s6 ~0 n; y! Q2 ~      }
$ z& R1 M9 ^* F/ u5 k: K5 z    }

* i1 E; O5 ~  x3 o+ s    DeviceObject = DeviceObject->NextDevice;
6 p1 e; l8 m: Y- I  }
0 {& R4 z. U( \1 O
  __End:
3 J# x9 J  ~+ O8 f
8 ]8 ^( i/ d6 y0 u) N9 I9 o  if ( bFound )
  {
    //
    // 找到则返回 USB 键盘设备对象
    //
    *UsbDeviceObject = DeviceObject;
% h/ P2 \$ W: ], t& {% k1 c  }
; L4 i% O: D& ~% E6 O9 A  else
/ P" B6 N# C1 x# A  {
, w. e1 f9 D$ P* T    *UsbDeviceObject = NULL;
) w' v* ]6 m/ d% ?6 K. }( P" B7 U  }
6 O) o% p# q! P$ |. u5 `
  return STATUS_SUCCESS;
8 g' d; B+ @5 T  |# ?}
% D9 [0 h( k6 W
$ y8 U6 ^# W) u% c8 q( u5 f/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
// 函数模块 : 键盘过滤模块
( \3 l$ }, ]* v  j# Z- n////////////////////////////////////////////////////////////////
// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
//        信息，返回附加后的驱动对象
, h& `6 m. d3 L# U5 z" m3 i// 注意 : 此函数仅挂接 USB 键盘设备
; O2 `  t5 D4 l/////////////////////////////////////////////////////////////////
/ a/ b$ m5 F, \2 ?( d4 Y9 q// 作者 : sinister
6 ^2 T& e, l: t/ o" e! N9 M// 发布版本 : 1.00.00
// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
' L0 m8 o% O9 O( C& q% X& }// 修改者 :
// 修改日期 :
4 ^9 ?5 {4 {! x0 |- c// 修改内容 :
, f' K, i. p+ X# P/////////////////////////////////////////////////////////////////

NTSTATUS
AttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
$ k. v2 v. j6 |# `  l                         IN PDRIVER_OBJECT  DriverObject )
{
1 A! V, \2 h- p: B3 a  PDEVICE_OBJECT DeviceObject;
7 t6 `) R9 U! V5 h  PDEVICE_OBJECT TargetDevice;
1 N$ r. H! R% e. m7 r  e  PDEVICE_EXTENSION DevExt;
# S) r7 Q# t% a4 R0 b  NTSTATUS ntStatus;

: w6 E* f0 a. }4 p; d* [8 U# m# ?  //
  // 创建过滤设备对象
  b2 P9 Q8 E8 y( Z  //
+ z) G$ q) U# p" y  ntStatus = IoCreateDevice( DriverObject,
. C6 s3 d( ?# a6 E                             sizeof( DEVICE_EXTENSION ),
                             NULL,
                             FILE_DEVICE_UNKNOWN,
. G# L. [2 d9 |4 f: W# P                             0,
* E' M1 i' W  l- s0 E                             FALSE,
                             &DeviceObject );

2 U3 b% l  `9 t3 C  if ( !NT_SUCCESS( ntStatus ) )
' Q* e' K; I! h+ F6 d: }6 i  {
$ s3 `* l6 p. L( F. V1 Q. J0 l    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
    return ntStatus;
  }

1 @4 [0 a; b0 g5 C  DevExt = ( PDEVICE_EXTENSION ) DeviceObject->DeviceExtension;
7 m* G: g& o) d* j; n
  //
% e, f! J1 G4 L+ S7 E- s& Y  // 初始化自旋锁
  //
" ~6 p( |1 i! h  KeInitializeSpinLock( &DevExt->SpinLock );

# Q- @2 d' N8 @: R7 G+ c9 ~  //
  // 初始化 IRP 计数器
# \4 @( |* M; i$ p( ?) v/ y) H  //
; k8 D9 c: b$ @0 r8 j+ W$ ?  DevExt->IrpsInProgress = 0;
' w$ c! G4 A: T: G/ U# C7 ~; y$ |
  //
  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
$ r2 y2 M# O/ t! }  //

  TargetDevice = IoAttachDeviceToDeviceStack( DeviceObject, UsbDeviceObject );
1 W/ M3 ]1 h% x) H& X2 W6 V  if ( !TargetDevice )
. I+ z& S; N, R/ B: I* ]  {
    IoDeleteDevice( DeviceObject );
    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
    return STATUS_INSUFFICIENT_RESOURCES;
  }

  //
5 v5 F1 v/ t9 m+ b7 ~! @  // 保存过滤设备信息
  //
  DevExt->DeviceObject = DeviceObject;
  DevExt->TargetDevice = TargetDevice;
( R2 T( X5 v9 z) X( A
) j5 J8 l6 g  M! c/ g  //
. q6 t. ~$ @4 f. `" _( T5 M# m  // 设置过滤设备相关信息与标志
  //
7 c0 e0 ^  `# [  DeviceObject->Flags |= ( DO_BUFFERED_IO | DO_POWER_PAGABLE );
  DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
3 F9 I/ ~8 `% R5 L8 [; K) Y
" {% P5 o9 `9 j+ n- u
  return STATUS_SUCCESS;
4 I1 O# k) B, T; A! S}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
& }7 L* c6 T$ M3 o2 p8 Z// 函数模块 : 键盘过滤模块
2 w& W$ Y' [. X) H& H' @5 h////////////////////////////////////////////////////////////////
9 w. T. Y) u7 m0 j0 C2 e. x// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
6 }  Q9 z% U6 k: @//        信息，返回附加后的驱动对象
// 注意 : 此函数仅挂接 PS/2 键盘设备
/////////////////////////////////////////////////////////////////
// 作者 : sinister
/ Z5 h6 V9 E9 U) e# o// 发布版本 : 1.00.00
4 W/ [  Q: C7 H0 `// 发布日期 : 2005.12.27
; d; k- P! u0 {5 }- B/////////////////////////////////////////////////////////////////
# ~/ j  B; m8 A# X# b! e// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
: x, z+ m/ g' e' p8 P% K7 z3 J: E' Q// 修改者 :
# R* E# }% c4 N8 A7 C' C8 L// 修改日期 :
" i* a$ V: h$ r6 k% A8 G: a5 e// 修改内容 :
/////////////////////////////////////////////////////////////////
" b9 I" V& x% H9 |/ c8 p9 a1 k# J1 ?* \
# ^- e) d. s" d* c, b# E0 o9 k  TNTSTATUS
AttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName, // 需要跟踪的设备名
                         IN PDRIVER_OBJECT  DriverObject, // 过滤驱动也就是本驱动的驱动对象
                         OUT PDRIVER_OBJECT* FilterDriverObject ) // 返回附加后的驱动对象
8 j# U5 v. k/ I/ u" O{
6 Y* B% \: A) s6 b; V/ D6 Q  PDEVICE_OBJECT DeviceObject;
! T7 `0 ^2 C, g5 J  PDEVICE_OBJECT FilterDeviceObject;
  PDEVICE_OBJECT TargetDevice;
5 S% n- ?& j* d7 X1 w3 \9 R' m  PFILE_OBJECT FileObject;
* z# [) p2 e0 y% F' K  PDEVICE_EXTENSION DevExt;

  NTSTATUS ntStatus;
9 e1 J% q- R  ~. v
1 K# x7 j0 L* P' y9 w$ u: w  //
  // 根据设备名称找到需要附加的设备对象
- B9 v' i8 X# q  //
  ntStatus = IoGetDeviceObjectPointer( DeviceName,
6 f7 P/ m, S& p; i                                       FILE_ALL_ACCESS,
                                       &FileObject,
, i- t. g/ R6 G+ h% p                                       &DeviceObject );

$ z1 z+ \7 ?. t7 A  R+ t0 [  if ( !NT_SUCCESS( ntStatus ) )
  {
0 j3 z- d% n  a$ R. x4 \6 d$ ^    DbgPrint( "IoGetDeviceObjectPointer() 0x%x\n", ntStatus );
    return ntStatus;
# K$ o7 V6 ~; m3 w  }

  //
2 F8 t7 {5 F6 W) ^" W8 f  // 创建过滤设备对象
# H' [! n* _/ U4 o2 x  //
  ntStatus = IoCreateDevice( DriverObject,
2 i5 Y! p' U  J                             sizeof( DEVICE_EXTENSION ),
                             NULL,
# X+ ?4 s0 X) G1 U6 h! ~4 Z                             FILE_DEVICE_KEYBOARD,
                             0,
3 z) z  V9 A7 R! s  `' R% v: q                             FALSE,
: m- x; p" m+ t                             &FilterDeviceObject );
1 h& N! x( U( D! k+ N
  if ( !NT_SUCCESS( ntStatus ) )
  {
9 `! P" p. `7 P7 J  F) k    ObDereferenceObject( FileObject );
( j8 q) Y$ f6 \+ M; C9 h- D    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
    return ntStatus;
  }
4 @+ U, W8 ]" |; U9 q) R
  //
  // 得到设备扩展结构，以便下面保存过滤设备信息
  //
9 l0 b" d# y5 ~7 ^9 C" B; r  DevExt = ( PDEVICE_EXTENSION ) FilterDeviceObject->DeviceExtension;
4 f- y) H0 R. W& \% \5 m; S( S( w

  //
  // 初始化自旋锁
  //
2 v, I5 z6 A/ t7 L8 X  KeInitializeSpinLock( &DevExt->SpinLock );

  //
  // 初始化 IRP 计数器
  //
  DevExt->IrpsInProgress = 0;
# @& Z" l) A+ F9 q+ k5 }1 @0 p
  //
& W; j! X$ W- E# Y3 a" U, G7 e/ \; g  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
- @" D7 }0 U1 c; P' I3 t- T4 c  I  //
  TargetDevice = IoAttachDeviceToDeviceStack( FilterDeviceObject,
                                              DeviceObject );
  if ( !TargetDevice )
- Y% e; G1 H' }; N  P2 @  {
4 x' O+ ?. p1 h2 K9 p% X/ p! j    ObDereferenceObject( FileObject );
    IoDeleteDevice( FilterDeviceObject );
    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
; J/ ?2 |2 P$ m+ f    return STATUS_INSUFFICIENT_RESOURCES;
! v6 ?8 t$ \/ n% a  e  }

  //
" \$ m9 C/ f2 `/ F0 o7 \! C  // 保存过滤设备信息
! }" M, R( g$ i) D" \  //
: ~5 W/ _# x; t* D/ _; `! ~  DevExt->DeviceObject = FilterDeviceObject;
2 }0 Y" K# \+ w7 J  DevExt->TargetDevice = TargetDevice;
; |# G( e; A! v2 \# J  DevExt->pFilterFileObject = FileObject;

  //
7 m- f$ [  L. J, |' F8 o1 |  // 设置过滤设备相关信息与标志
  //
  FilterDeviceObject->DeviceType = TargetDevice->DeviceType;
/ a: U" |! E9 n7 D, G  FilterDeviceObject->Characteristics = TargetDevice->Characteristics;
$ \* g( N% N7 @6 c( m- V- z$ O  FilterDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
  FilterDeviceObject->Flags |= ( TargetDevice->Flags & ( DO_DIRECT_IO |
                                                         DO_BUFFERED_IO ) );
$ f7 \4 y8 B! [- M
- n0 L  [* G) Q- j, k0 g2 Q  //
7 L, ^. G  h2 R  z: p9 ?  // 返回附加后的驱动对象
  //
  *FilterDriverObject = TargetDevice->DriverObject;

. X4 v- Z7 i9 d  J; r  ObDereferenceObject( FileObject );

  return STATUS_SUCCESS;
+ j. _5 r. U* O9 g+ v- R; }5 n}

  E$ w- M5 E4 M8 D/ `5 C/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
// 功能 : 键盘过滤驱动的 IRP_MJ_READ 派遣例程，所有按键将触发
7 T' s' e8 g! E; C//        这个 IRP 的完成
// 注意 :
5 ^2 N- p2 T" r) S/////////////////////////////////////////////////////////////////
// 作者 : sinister
$ G6 a  B7 k' I// 发布版本 : 1.00.00
// 发布日期 : 2007.2.15
/////////////////////////////////////////////////////////////////
! m+ f/ v4 K( f( [# @, q# R// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
// 修改者 :
" q, O- t$ i5 J( ^! V6 K// 修改日期 :
// 修改内容 :
/////////////////////////////////////////////////////////////////

& ]* b" [+ |5 J" R  TNTSTATUS
KeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
- K' x/ C$ x8 S0 U; j2 G# S! C! B{
2 d8 W; M/ V! }4 r' r  NTSTATUS status;
  KIRQL IrqLevel;

  PDEVICE_OBJECT pDeviceObject;
  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
! j- k1 p3 I# b' X                                   DeviceObject->DeviceExtension;
* R/ S; a' d# m2 K, j
7 ]. B4 `, w0 |. j) o1 o0 f% }3 H
  IoCopyCurrentIrpStackLocationToNext( Irp );
* S: x: E4 i: D6 n) A
3 }6 B  u, J# ~' \7 k  //
+ A  j9 O  p4 ?% H3 z' n0 w. a/ i* a  // 将 IRP 计数器加一，为支持 SMP 使用自旋锁
, j4 `) k8 Y; u( f6 ]% P) K  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
% X) _  g  D5 C  InterlockedIncrement( &KeyExtension->IrpsInProgress );
! v$ H! Y5 D0 g, Z* Z0 N  d- P& r  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );

) f0 V! p" d0 {- z* ]  IoSetCompletionRoutine( Irp,
                          KeyReadCompletion,
" T7 v# T) N7 Q" W, s: r' N                          DeviceObject,
1 C8 @, |. T( c9 X  g$ J" l                          TRUE,
                          TRUE,
" H( n8 c/ X3 X- \5 S' {( b4 H/ I                          TRUE );

* Q4 g4 B& s# D$ ~  return IoCallDriver( KeyExtension->TargetDevice, Irp );
& N' N' |5 ?( D3 E$ V- h2 q  B0 d}

0 d3 b8 n* D2 q: G! e/////////////////////////////////////////////////////////////////
) }) T* W& Y0 g  a// 函数类型 ：系统回调函数
5 i" v( G# v/ n5 T9 p// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
// 功能 ： 获得键盘按键，用无效扫描码替换，以达到屏蔽键盘的目的
+ S9 Q; j/ ?. o2 K8 p, b8 ~) j% W// 注意 ：
, X* C; b; M3 n' _" k+ J7 [8 {  }/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2007.2.12
* T/ b0 l  C  ^8 h; H- [5 J+ S$ B/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
& [+ M1 r; ~7 D! Y, q// 修改者 :
, _/ |; E4 |5 @, E0 r// 修改日期 :
4 i- M9 {  U7 C1 l8 F6 k& C// 修改内容 :
5 j3 B5 C% L- i" A/////////////////////////////////////////////////////////////////

NTSTATUS
KeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
* x1 U) [- r+ {/ ~( {: A4 X/ G                   IN PIRP Irp,
                   IN PVOID Context )
{
2 ]# a! s1 v1 L, f8 u0 p% Y  PIO_STACK_LOCATION IrpSp;
  PKEYBOARD_INPUT_DATA KeyData;
2 I. Z  d. r! d$ w- S( j5 K  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
                                   DeviceObject->DeviceExtension;
  int numKeys, i;
  KIRQL IrqLevel;
5 \2 ?( v. E; J+ y" r$ h8 o: J: X
  IrpSp = IoGetCurrentIrpStackLocation( Irp );


  if ( Irp->IoStatus.Status != STATUS_SUCCESS )
. Y* G" e; ~6 d7 E3 c, V  H* p  {
    DbgPrint( "ntStatus:0x%x", Irp->IoStatus.Status );
" d& }1 }) ~$ n( g    goto __RoutineEnd;
, I6 F: W' K; m: x  }

+ P/ S6 I1 q/ L3 D  i* C  //
- S$ @" m& N- V  // 系统在 SystemBuffer 中保存按键信息
7 `5 G# c# e5 u& o  //
  KeyData = Irp->AssociatedIrp.SystemBuffer;
  if ( KeyData == NULL )
  {
, R2 U* q  Q1 z0 E! E; P    DbgPrint( "KeyData is NULL\n" );
    goto __RoutineEnd;
3 b$ v( L0 K3 k4 r1 r4 D7 _& h  }
4 N8 n1 Q1 w. b; B$ x; j' n, C
  //
+ Z) \. d$ B: ^! r. F  // 得到按键数
! y  ^8 i  z0 O$ W  //
  numKeys = Irp->IoStatus.Information / sizeof( KEYBOARD_INPUT_DATA );
( M5 G- v5 v* n  if ( numKeys < 0 )
7 u, G0 _- ^, m5 ]/ r( w  {
    DbgPrint( "numKeys less zero\n" );
    goto __RoutineEnd;
! W; s3 C; ]1 l+ Y( T9 g% W& x  }

, c  t& F* s5 }! o- j  //
  // 使用 0 无效扫描码替换，屏蔽所有按键
0 Y' }/ o6 X# E' ~4 V# b. w* d  //
  for ( i = 0; i < numKeys; i++ )
  {
! e6 L9 w$ D- O; |- U, D, E/ t' i    DbgPrint( "KeyDwon: 0x%x\n", KeyData[i].MakeCode );
    KeyData[i].MakeCode = 0x00;
  }

$ Z( v2 u- U/ d4 R
+ X$ v, u( X7 g9 ^4 k6 y  __RoutineEnd :

' r& b) S! k$ u* U  F) Q  if ( Irp->PendingReturned )
  N) ?$ O, S% y  {
2 V& `0 E6 B# F0 E8 @7 P2 u6 I3 \    IoMarkIrpPending( Irp );
  }

3 a; l( T1 t& e# B  //
  // 将 IRP 计数器减一，为支持 SMP 使用自旋锁
  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
  InterlockedDecrement( &KeyExtension->IrpsInProgress );
  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );
, R) _  ?' _) j. t+ Y; _
  return Irp->IoStatus.Status ;
}

- S- L, T/ s$ P% `( n
6 i5 q: z. }% i& `+ u+ k" z/*****************************************************************
文件名        : WssLockKey.h
& j/ ^2 h6 A6 n( X/ W9 S& Q# |5 }5 S% V 描述          : 键盘过滤驱动
% `# Q* o0 ?7 { 作者          : sinister
最后修改日期  : 2007-02-26
*****************************************************************/

" ?1 H4 h3 P( C" j( `; |( I#ifndef __WSS_LOCKKEY_H_
#define __WSS_LOCKKEY_H_

#include "ntddk.h"
; i0 {3 z) `  U#include "ntddkbd.h"
#include "string.h"
8 f2 j) H3 e& p3 l- h#include
+ @+ v8 r/ c# j# p
#define MAXLEN 256

+ ?  @. U9 n6 v#define KDBDEVICENAME L"\\Driver\\kbdhid"
#define USBKEYBOARDNAME L"\\Driver\\hidusb"
( C4 [  \# ^$ |$ r' Q: m# y#define PS2KEYBOARDNAME L"\\Device\\KeyboardClass0"

/ b8 K5 S+ A: f" ytypedef struct _OBJECT_CREATE_INFORMATION
, v* {7 C+ I( D8 x' W' d2 ^{
; v+ Y3 b7 }0 @0 h$ ^$ b    ULONG Attributes;
$ b. z+ o7 P0 f    HANDLE RootDirectory;
    PVOID ParseContext;
    KPROCESSOR_MODE ProbeMode;
2 ~  m* z- x. c+ {# |4 _8 l    ULONG PagedPoolCharge;
    ULONG NonPagedPoolCharge;
) N3 x7 U! }1 v4 h% D3 M3 H    ULONG SecurityDescriptorCharge;
9 O% _9 T- ^/ N& @' d4 _( |    PSECURITY_DESCRIPTOR SecurityDescriptor;
  y$ `" z; b) h6 [7 {  }- S    PSECURITY_QUALITY_OF_SERVICE SecurityQos;
. V5 `+ ~  h/ o; [; T+ Q) Q. }; E    SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_CREATE_INFORMATION, * POBJECT_CREATE_INFORMATION;
- _4 C  n0 O3 r
typedef struct _OBJECT_HEADER
{
    LONG PointerCount;
    union
4 v; m: t6 f9 R5 N/ E    {
        LONG HandleCount;
0 D5 J" s' l8 J, \% n' M3 C' j  t        PSINGLE_LIST_ENTRY SEntry;
    };
    POBJECT_TYPE Type;
9 O) u/ A$ y+ r3 k& V6 D    UCHAR NameInfoOffset;
    UCHAR HandleInfoOffset;
    UCHAR QuotaInfoOffset;
    UCHAR Flags;
    union
, Y4 i2 H( A1 u% p3 {! r    {
        POBJECT_CREATE_INFORMATION ObjectCreateInfo;
        PVOID QuotaBlockCharged;
    };
1 G6 {* `6 Z( _. @+ ^+ a' M7 v
    PSECURITY_DESCRIPTOR SecurityDescriptor;
( o0 N: X6 O6 X7 P! u- x% E7 G    QUAD Body;
} OBJECT_HEADER, * POBJECT_HEADER;

#define NUMBER_HASH_BUCKETS 37

typedef struct _OBJECT_DIRECTORY
{
    struct _OBJECT_DIRECTORY_ENTRY* HashBuckets[NUMBER_HASH_BUCKETS];
" {# o! b6 u& v5 z; ~8 b& F) V    struct _OBJECT_DIRECTORY_ENTRY** LookupBucket;
    BOOLEAN LookupFound;
) s) E; n+ S7 Z: b    USHORT SymbolicLinkUsageCount;
    struct _DEVICE_MAP* DeviceMap;
, s4 G' \/ b: t} OBJECT_DIRECTORY, * POBJECT_DIRECTORY;

typedef struct _OBJECT_HEADER_NAME_INFO
$ H% E5 U( y1 W{
5 B( t2 k- F6 O- h# [% d: y    POBJECT_DIRECTORY Directory;
    UNICODE_STRING Name;
& y+ _5 z0 P9 w    ULONG Reserved;
#if DBG
6 @- H* p3 y; L, u6 x    ULONG Reserved2 ;
4 w3 @9 u" r$ I5 |. G( d. H2 b8 c    LONG DbgDereferenceCount ;
9 y7 R( c; c! z/ H7 S8 \#endif
7 o$ i# R: {2 G8 H+ I} OBJECT_HEADER_NAME_INFO, * POBJECT_HEADER_NAME_INFO;

- S; S: B# Z$ y+ v#define OBJECT_TO_OBJECT_HEADER( o ) \
" i8 u2 {: ?$ ]! ?7 w2 d    CONTAINING_RECORD( (o), OBJECT_HEADER, Body )
' \, g& y3 @$ a7 U* v& f
, V4 p9 U2 k8 z" O( x6 e#define OBJECT_HEADER_TO_NAME_INFO( oh ) ((POBJECT_HEADER_NAME_INFO) \
, P( k, ~7 L7 M% [9 ~    ((oh)->NameInfoOffset == 0 ? NULL : ((PCHAR)(oh) - (oh)->NameInfoOffset)))

) R. j" G$ V( c9 Dtypedef struct _DEVICE_EXTENSION
( w6 d9 F4 c/ I  P{
    PDEVICE_OBJECT DeviceObject;
    PDEVICE_OBJECT TargetDevice;
    PFILE_OBJECT pFilterFileObject;
    ULONG DeviceExtensionFlags;
9 P' K# d$ ~/ {) S: V    LONG IrpsInProgress;
    KSPIN_LOCK SpinLock;
}DEVICE_EXTENSION, * PDEVICE_EXTENSION;


' V  n/ t7 ]) }# @VOID
KeyDriverUnload( PDRIVER_OBJECT KeyDriver );

BOOLEAN
CancelKeyboardIrp( IN PIRP Irp );

extern POBJECT_TYPE* IoDriverObjectType;
3 {+ p- m! h( L: e- P
0 t, A4 R0 @# C6 p  eNTSYSAPI
NTSTATUS
8 q2 n7 f2 S' W" J$ ?8 u1 }& uNTAPI ObReferenceObjectByName( IN PUNICODE_STRING ObjectName,
1 U0 a8 B4 G0 g- y                               IN ULONG Attributes,
& F  R3 ?% K8 c" ?& N                               IN PACCESS_STATE AccessState OPTIONAL,
                               IN ACCESS_MASK DesiredAccess OPTIONAL,
7 W" F! O  n% _6 n) p3 ]" o# L                               IN POBJECT_TYPE ObjectType,
                               IN KPROCESSOR_MODE AccessMode,
% N) p) k' J( H' R9 c                               IN OUT PVOID ParseContext OPTIONAL,
                               OUT PVOID* Object );
6 r/ V& O& [  }. J. p
6 u3 F/ F# J% ~& t: k" |NTSTATUS
  }4 i1 V# G* bGetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject );

BOOLEAN
GetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj );

7 F% m7 J) N$ xVOID
GetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj );

NTSTATUS
* p  b9 v  P4 ?3 z) YAttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
0 E9 Q1 P$ n+ d  k( r                                  IN PDRIVER_OBJECT  DriverObject );

NTSTATUS
8 l2 [4 Q4 ^" x5 ^! \2 kAttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName,
                                  IN PDRIVER_OBJECT  DriverObject,
7 l- m# _  X4 ^  L4 e7 D2 Q                                  OUT PDRIVER_OBJECT* FilterDriverObject );
* R7 C2 v! E6 [, H9 Q! N
) ~% g  {! s% B& n; oNTSTATUS
KeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
# f8 l* M( o( I7 c! d8 L                            IN PIRP Irp,
                            IN PVOID Context );
$ T1 v- X4 e3 H' k8 xNTSTATUS
KeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp );
. v% ^5 n' f7 s, ?( q# H! x
WCHAR szUsbDeviceName[MAXLEN];

& E: N( v! l2 n  D#endif
  y  o  n& o8 h/ C


6 r' S' R( |  E1 B, J

' X( p5 k0 N$ a' u/ `9 b' t& R- R0 ]( a* kWSS(Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安全技术的研究。坚持传统的hacker精神，追求技术的精纯。
WSS 主页：[url]http://www.whitecell.org/[/url]
WSS 论坛：[url]http://www.whitecell.org/forums/[/url]