[转载]支持 PS/2 与 USB 的键盘过滤驱动(可卸载) -- by sinister

bini

Author:  sinister
/ _% V1 t% t( c0 m  \5 aEmail:   [email]sinister@whitecell.org[/email]
- I. ]( F$ F) B0 F' u2 GHomepage:[url]http://www.whitecell.org[/url]
- p: L" |) T4 A* I2 hDate:    2007-02-26
- h% s, H1 C1 L! v$ [5 G1 j) ?

. {' O  V3 s% O$ y. @7 Z. G/*******************************************************************
3 p6 Z6 A+ ~' V% s
( T# i5 G# `' H( |/ X5 Z% t" v这个键盘过滤驱动是一个定时锁定计算机程序的功能部分，以前 lgx
写过一个 linux 版，现在我们需要实现一个 windows 版。这部分的
功能要求如下：
6 {# _, v% ]# ^
$ z+ `1 c: ^) g* W. O1、强制锁定键盘/鼠标。
2、可动态加/解锁
6 X1 K; D' v! h) H3 w3、兼容所有 NT 系列的操作系统。
* z$ @7 K- q( o' H1 p
就这个需求而言，能马上能想到的就有7，8种方案，这些方案可以说都能够实
现，但如何更合理，更稳定、更彻底的实现，如何尽量少的消耗系统资源，如
3 r+ ^% I9 d  k7 M  p2 u7 J  R何保证其兼容性，等一系列问题不得不让我们去重新评估这几种方法。首先在
3 _( q6 s$ B) i: X  c上层实现，一是怕被饶过，二是怕调用频繁影响系统性能。在底层实现，一是
怕考虑不周有兼容性问题，二是怕过多使用未公开方法导致系统不稳定。下面
就来看一下我想到的几种实现方法：
4 o) Y- E( _* m. i, ~+ N. Y
1、全局键盘/鼠标钩子
5 F+ h0 p. `' @2、BlockInput() API
3 W4 A7 T# {3 C# H/ L2 I9 s3、使用 setupapi 进行控制
1 h( ]" ~5 s0 i; y: I2 L$ h: e4、全局键盘/鼠标钩子+远线程插入 WINLOGON 进程屏蔽 CTRL+AL+DEL
5、拦截 win23k!RawInputThread() 函数
6、修改 DDK 中自带的 kbfilter 的键盘(Port Driver)过滤驱动
7、拦截 kdbclass 驱动的 driver dispatch routine
8、实现一个 PS/2 与 USB 键盘过滤驱动

3 S* \4 U1 F( M' l6 ~* c
我们先看一下以上这些方案的实用性与通用性。第1，2套方案不在考虑
9 |! H  {9 E, T$ @2 C之内了，因为有办法解锁，屏蔽不了 CTRL+ALT+DEL 组合键。第3套方
0 }& [0 b# b+ q) Q案经过我的测试使用 Keyboard 的 CLASSID 不是什么环境都好使，存在
兼容性的问题。第4套方案系统效率会大大降低，而且存在很多不稳定因
素，对于全局钩子这种东西我一直很排斥。第5套方案，同样存在兼容性
问题和不稳定因素。第6套方案看似完美，但无法实现动态卸载，无法卸
载就意味着你需要一个开关来控制是否锁定，这样还要与应用层通讯，我
, Z+ ^* M0 X* a的目的是不让应用层与驱动有任何交互。且使用 WDM 形式这种安装起来
也很麻烦，要么 INF 要么自己 setupapi，这都不是我想看到的，还有如
  f4 i9 B' _, w- S' Y果仅为实现这么一个功能，就让一个核心驱动一直存在系统中的话，我有
( m1 R, @( S5 g. z9 J* j* G障碍。第7套方案看似实现起来很简单，其实有很多问题。如仅是拦截
IRP_MJ_READ 并粗暴的返回拒绝后，系统无法恢复到初始状态。且对于
USB 键盘存在兼容性问题。那么最后只有自己实现一个 PS/2 与 USB 键
盘过滤驱动了，既然要实现这么一个驱动，那么就必须能实现到第6套方
案的全部功能且不存在它所带来的问题，否则就没有什么意义了。
1 m( H* k2 l' H
+ L% B" D0 r/ T7 t  L! `8 Z
我们都知道实现一个可直接使用 SERVICE API 来动态装载的 KMD 键盘过
滤驱动，首先需要先 ATTACH 到 \\Device\\KeyboardClass0 设备上再进
行按键过滤。但如果仅 ATTACH 这个设备的话，会存在很多问题，那就是
只能过滤到 PS/2 键盘，而对于使用 USB 键盘的机器毫无作用。现在越
来越多的品牌机都预配的是 USB 键盘(如：DELL)。大家可能会想，从
% [* b4 c7 a* l4 C$ AKeyboardClass0 一直到 N 都 ATTACH 不就可以了么？总有一个是 USB
2 L. m  s: q- Z2 i+ U! q键盘设备，经过实践这是不可行的，只要是 USB 键盘设备的话，在使用
: L3 j- k3 z9 J3 W: MIoGetDeviceObjectPointer() 函数从设备名得到设备对象都会获取失败，
我还曾尝试使用 USB 键盘设备名来转换，还是一样失败。还有一个问题
就是 USB 键盘设备不是都有名称的，即使有它的名称也都是动态生成的
而不是固定的。那么这就带来了一个问题，既然系统提供的函数无法使
. j# `1 [/ M6 X5 j( e1 y用，且我们又是为了动态安装/卸载，使用的是 KMD 类型驱动，无法通
$ o- q4 h6 L  S! E4 \3 D* r过 AddDevice 例程来获得 USB 键盘的设备对象进行挂接。那么如何来
; d$ i0 c9 f2 ^4 |屏蔽 USB 键盘按键？要达到这个目的只有自己分析下 USB 协议栈，通
7 k8 A; Z) O( W5 Y, o( Y6 O6 y3 H# p过使用 DriverTree 观察发现，所有 USB 外设都挂在了 \Driver\hidusb
上面，USB 键盘驱动名为 \Driver\kbdhid，而它则是 \Driver\kbdhid
的一个 FilterDriver，且这个 \Driver\kbdhid 没有设备名称，也就意
! V# N1 M5 Q0 f6 Q" s, H味着，我们无法 IoGetDeviceObjectPointer() 得到设备对象并 ATTACH。
经过对多个系统多台使用 USB 键盘机器的分析，可以确定让我使用它们
来作为得到 USB 键盘设备的依据。（这里仅是对 USB 键盘设备很功利
" D1 Y" ?  Z' t的分析，如果想了解 WINDOWS 的 USB 设备栈如何组建，请阅读 tiamo
的 《Windows 的 USB 体系结构》。在此向所有公开研究成果的人致
敬！）有了这些依据，下面就没什么好说的了，自己遍历 USB 设备栈，
根据驱动名称获得 USB 设备对象，然后 ATTACH，过滤按键。具体流程
+ B; @* ^+ j* X$ U5 s2 S见下面代码。

这里有必要说下动态卸载，我尝试了两种方式，一种是在 UNLOAD 例程
$ N9 N5 l: P8 O/ G6 f# `# E8 ~里直接取消 IRP，这种方法在 W2K 系统下，无论是 PS/2 还是 USB 键
盘都可以很好的实现。但在 XP/2003 系统上则无法成功，在 XP/2003
* C. I' J  g! n1 l9 c: s' }上暂时使用一个 IRP 计数器，在 UNLOAD 例程里判断如果还有一个没有
" f! ?; ]4 M3 H7 I7 G2 c* P完成的 IRP 则等待，这样的话，需要在 UNLOAD 后用户按下任意键才可
  u3 c) H2 A+ B" `继续，虽然能够安全卸载但还需要一次用户介入。考虑实现的仅是一个
锁定功能，这样也算是能够忍受了。以后考虑在驱动中直接模拟用户按
键来实现，当然这种按键要有通用性和兼容性，支持 PS/2 与 USB 键盘。

" a" `2 L# g  l: G. v: m
& z4 q% M8 V/ @5 C! a6 W完成了上述工作后看起来好象完美了，其实不然，当你屏蔽了当前使用
0 n/ b: O3 D9 L" b" k; o, w的键盘时别忘了还可以再插入一个 USB 键盘，而后续插入的这个键盘是
可以被识别的。这就需要我们处理 IRP_MJ_PNP 选项，对其中我们有兴趣
; M* [3 b  {* o6 N的 IRP_MN_XXX 做相应处理，可以处理 IRP_MN_START_DEVICE，在这时我
+ L8 z8 P- w, j7 m" b3 o) d, t们动态挂接。还可以处理其他的 IRP，索性返回错误，让识别失效。但我
; ]% d" _  I+ L) I5 R# q$ s们的驱动是 KMD 类型，只要加上一句对 DriverObject->DriverExtension
) R) I( w8 x2 W2 r->AddDevice 的赋值操作则无法直接使用 SERVICE API 来动态加载了。
6 t) E% }6 ~; N, d如何保持 KMD 又可以获得 PNP 的处理权呢？这可能要直接对 PnpManager
: Y! @) b- H3 l% v/ C进行操作了。这个问题有待大家来完善了。


要问为什么把文章插在代码当中，那可能是我觉得，既然把全部代码都贴出
来了，写文章就不如直接看代码来的真切。我这里所写也仅仅是对这些天的
分析做个记录而已。我更愿意把它看做是一段注释。
3 g0 I$ I- X$ A2 x. r$ _
% q4 [7 e6 f" N# p3 c最后在此代码中要
8 o3 i3 |2 `( N" d" o( R0 @
% W7 S0 t9 O: Y感谢：PolyMeta，他在放假前提醒我 USB 键盘的不同。
6 l' h9 Q, b/ `" Q8 V$ L! I
感谢：lgx，过节前给我找了些事，以至于没有让我觉得过节那么无聊。
. t+ Q, P8 f- b# `# M8 Z
感谢：齐佳佳，过节请我吃好吃的。


******************************************************************/
$ h3 D! o% }/ D  M
: N4 K9 L) S. D" r9 R. [, D: e
6 c" x: K! o) T5 Y( u3 r! Z/*****************************************************************
文件名        : WssLockKey.c
$ U' L# `$ W9 B/ y 描述          : 键盘过滤驱动
作者          : sinister
最后修改日期  : 2007-02-26
( r: L( `0 J5 m- O*****************************************************************/

" A8 {. J# R' L- p' c
% |# B3 A" a$ K, B#include "WssLockKey.h"

NTSTATUS
DriverEntry( IN PDRIVER_OBJECT KeyDriverObject,
9 u/ q% W; z+ S- k4 X             IN PUNICODE_STRING RegistryPath )
! J& }  \' Q7 ?& R" ^{
  UNICODE_STRING KeyDeviceName;
) ]7 q2 n4 m2 B* D6 s0 `/ g6 P  PDRIVER_OBJECT KeyDriver;
  PDEVICE_OBJECT UsbDeviceObject;
" w# X6 A( A" k- j! E2 _9 k" o  NTSTATUS ntStatus;
  ULONG i;
$ {4 k, A) |0 Q5 C
  //
  // 保存设备名，调试使用
/ [  |4 `* `7 ?* P- v0 J. O  //
" [4 M, D8 z$ s) i: e  WCHAR szDeviceName[MAXLEN + MAXLEN] =
  {
    0
  };
. T+ }3 e( g9 o& j+ E1 T
  KeyDriverObject->DriverUnload = KeyDriverUnload;
7 S% ^2 }- |: y/ @
1 G3 Q# s- s/ l, [  //
& D0 W2 W1 _' {) w( o+ n3 v  // 先尝试获得 USB 键盘设备对象，如果成功则挂接 USB 键盘
+ v# C6 M8 E+ {" O" w  //
  // 注意：因为 USB 键盘设备名不固定，且即使得到名称也无法
  // 使用 IoGetDeviceObjectPointer() 函数根据设备名称得到其
: I. N0 |7 W5 s- m* v' w6 h% p  // 设备对象，所以这里我们只能自己枚举 USB 设备栈，并得到
; u! K8 |  K- m2 i3 ?8 f! i  // USB 键盘设备来进行挂接
  //
- w5 E1 w2 {# K- n8 \3 P4 @( x  ntStatus = GetUsbKeybordDevice( &UsbDeviceObject );
% ?, e0 ?4 w1 i: p4 I1 \  if ( NT_SUCCESS( ntStatus ) && UsbDeviceObject != NULL )
  {
    //
    // 调试使用，USB 键盘设备 kbdhid 没有设备名只有驱动名
$ b0 Y7 {! @9 X    // 所以这里打印为空
    //
    RtlInitUnicodeString( &KeyDeviceName, szDeviceName );  // USB KEYBOARD
    DbgPrint( "KeyDeviceName:%S\n", KeyDeviceName.Buffer );

  b  D8 @' x! }7 B    //
( d5 F& P& o- t/ y2 I    // 挂接 USB 键盘设备
0 _. c- U" a2 ^1 Z( T0 e$ \7 C    //
    ntStatus = AttachUSBKeyboardDevice( UsbDeviceObject, KeyDriverObject );
' q& V% N. F! t1 e/ {3 C, D- t    if ( !NT_SUCCESS( ntStatus ) )
    {
      DbgPrint( "Attach USB Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
    }
  }
/ M% m  h6 [1 ^9 o  else
! ]$ ?# s. ^3 F/ P  p  {
) R3 ~2 F6 P+ d6 l, b; G    //
6 F, m2 v+ v) v+ K1 C    // 如果没有 USB 键盘，则尝试挂接 PS/2 键盘设备
& z6 K! p+ J0 g$ K  S( U    //
3 e9 K- O  J: O4 y6 g    RtlInitUnicodeString( &KeyDeviceName, PS2KEYBOARDNAME );

# I: R% p9 k+ `: y$ ]8 r5 B    ntStatus = AttachPS2KeyboardDevice( &KeyDeviceName,
4 P1 `; L( }$ K                                        KeyDriverObject,
                                        &KeyDriver );
" ]5 H, D* d0 |) _    if ( !NT_SUCCESS( ntStatus ) || KeyDriver == NULL )
    {
8 c3 |, P% z" T* X/ v( s) T      DbgPrint( "Attach PS2 Keyboard Device to failed!\n" );
      return STATUS_INSUFFICIENT_RESOURCES;
7 c  @3 \7 D$ G2 `: o    }
: c0 W) m4 Q) J2 L" A, g  }

  //
  // 这里没有过滤其他例程，仅处理了按键操作。这样处理会禁止
% V* S# E- ]; [" E  // 休眠。因在锁定时不允许休眠，所以也就无须处理其他例程
# i. f$ y/ U9 p( ~% h# B  //
  KeyDriverObject->MajorFunction[IRP_MJ_READ] = KeyReadPassThrough;

  return STATUS_SUCCESS;
& k. |5 y, A2 m8 N}

/////////////////////////////////////////////////////////////////
* I% x( [7 i2 T, _- y// 函数类型 : 系统函数
// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
7 z0 }" v' O  ^, _) z% L  _// 功能 : 尝试取消队列里的异步 IRP，如果失败则等待用户按键，
//        卸载键盘过滤驱动
// 注意 : 取消 IRP 操作在 2000 系统上可以成功，在 XP / 2003 上
//        则需要等待用户按键，以后有待完善
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
7 v+ t  C* m  }5 m// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
! m1 U2 Z8 T& s4 u4 e////////////////////////////////////////////////////////////////
// 修改者 :
  I, \  @2 Y) [. n% u6 m8 f8 o// 修改日期 :
# @7 f) U" S! C2 k* r, s5 v2 A4 Y. k// 修改内容 :
/////////////////////////////////////////////////////////////////

6 R# ?9 z9 m. n6 |VOID
" `, q3 B1 M2 X8 H  `- D( p5 J9 kKeyDriverUnload( PDRIVER_OBJECT KeyDriver )
{
  PDEVICE_OBJECT KeyFilterDevice ;      
6 b5 O& Q  E5 D& o  F  PDEVICE_OBJECT KeyDevice ;
  PDEVICE_EXTENSION KeyExtension;
  PIRP Irp;
/ j$ j- f5 Y  N  NTSTATUS ntStatus;

  KeyFilterDevice = KeyDriver->DeviceObject;
  KeyExtension = ( PDEVICE_EXTENSION ) KeyFilterDevice->DeviceExtension;
+ q2 e- X- d1 X7 o% ~- D  S8 v  KeyDevice = KeyExtension->TargetDevice;

) E3 X7 }$ f* h& n" E( Z  IoDetachDevice( KeyDevice );

& p% W$ l+ M) g  //
2 j' x  G$ f% t( s! T  // 如果还有 IRP 未完成，且当前 IRP 有效则尝试取消这个 IRP
  //
  if ( KeyExtension->IrpsInProgress > 0 && KeyDevice->CurrentIrp != NULL )
+ }) x  M* c6 D' @  {
    if ( CancelKeyboardIrp( KeyDevice->CurrentIrp ) )
    {
      //
) U: G, v* K, V# Z      // 成功则直接退出删除键盘过滤设备
      //
      DbgPrint( "CancelKeyboardIrp() is ok\n" );
/ ]& I" Y) g# ]0 i0 Q8 a      goto __End;
    }
) \1 m: b0 g9 P. a# m# E  }

, ?2 ]/ w2 E/ C9 Z0 _# o  y* I3 G9 Q  //
/ M8 ^9 R0 D0 x2 |* u  // 如果取消失败，则一直等待按键
  //
  while ( KeyExtension->IrpsInProgress > 0 )
  {
% g3 x' m2 K7 ]6 _2 q1 S    DbgPrint( "Irp Count:%d\n", KeyExtension->IrpsInProgress );
/ J0 c5 W5 K8 H! U  }

. @4 R/ A9 ], C1 h) ]  __End:
  IoDeleteDevice( KeyFilterDevice );

- I4 e6 l) V- A1 k! p7 R  return ;
; s& U6 I/ l& x}

$ a0 R* b5 T  g! o1 K1 `& ]5 ?/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
! [. s: G# n8 Y/ b, `3 x// 函数模块 : 键盘过滤模块
/////////////////////////////////////////////////////////////////
// 功能 : 取消 IRP 操作
// 注意 : 这个函数仅是为配合在 UNLOAD 例程使用，其他例程中不能
- |% E! c2 B. g5 T//        使用此方法来取消 IRP
( r. i; e( ?6 ?  K6 Q; v. F: \$ z/////////////////////////////////////////////////////////////////
0 ?0 O& ?! F% f// 作者 : sinister
9 R/ l5 Y2 y4 m// 发布版本 : 1.00.00
- n! g& V8 C$ i  g  I; [% I$ _// 发布日期 : 2007.02.20
' M0 U$ M1 P  ~9 Z/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
' z8 |% z3 y+ B$ L$ u8 r// 修改者 :
; E8 N8 v) O+ ^* q4 g// 修改日期 :
// 修改内容 :
/////////////////////////////////////////////////////////////////

- P$ g" c, e4 a% v% G  ^6 \BOOLEAN
3 X" @) w9 |) `( d3 }0 g' `CancelKeyboardIrp( IN PIRP Irp )
{
% a" r& o" T, J4 l6 B  if ( Irp == NULL )
' p# f8 _: M6 |. d1 e5 N3 _' \  {
    DbgPrint( "CancelKeyboardIrp: Irp error\n" );
    return FALSE;
  }

- m) v& L- ~2 e8 y. C9 a7 h6 g. Y% Y
  //
  // 这里有些判断应该不是必须的，比如对 CancelRoutine 字段，
  // 因为 IoCancelIrp() 函数中有判断了。但只有偏执狂才能生存 :)。
  // 小波说 低智、偏执、思想贫乏是最不可容忍的。我这一行代码就占
% `5 R4 t" i7 A; G# H! A  // 了两条 :D，不知 xiaonvwu 看过后会作何感想？:DDD
  //
. _3 |) _8 C. a* A% b9 p3 |* ^* {5 N# {
- ^, u) D! T( m2 ?, U  //
  // 如果正在取消或没有取消例程则直接返回 FALSE
, b) @: k9 j& k  b$ R  //
0 G2 E  q* ^) x! v$ N, T* H* r1 z2 C* \  if ( Irp->Cancel || Irp->CancelRoutine == NULL )
9 J5 @, X; d2 B4 d2 z  I3 Z  {
: g1 N1 m0 w( N5 T" o' G$ L0 [    DbgPrint( "Can't Cancel the irp\n" );
    return FALSE;
  }

  if ( FALSE == IoCancelIrp( Irp ) )
. P0 E2 o3 P3 R  {
4 v( D# e, q9 z  l& [    DbgPrint( "IoCancelIrp() to failed\n" );
3 w+ V' ^9 b0 e* d  W! p1 x% @    return FALSE;
  }
. Z: A$ v5 Z9 i' _2 b$ v
; n( S! x7 U- @: Q  //
  // 取消后重设此例程为空
) F+ o3 [5 G7 y. Q9 s4 i0 m9 a  //
  IoSetCancelRoutine( Irp, NULL );

  return TRUE;
  A' y7 R  p6 o; I* d}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
5 _7 R0 U" L" l// 函数模块 : 设备栈信息模块
% e: w1 u5 p# x* i) ?& F" {, l/////////////////////////////////////////////////////////////////
// 功能 : 遍历 DEVICE_OBJECT 中 AttachedDevice 域，找到 USB 键盘
/ C& d! }, |( O/ Y, p//        设备上名为 kbdhid 的过滤驱动（Upper Filter Driver）
8 D5 }- N  C; c. `# C// 注意 :
  E  y! v8 K* O, ]  ^/////////////////////////////////////////////////////////////////
! _3 `4 _1 d8 P" L+ S- `// 作者 : sinister
! g% M$ d' \- V; l9 n// 发布版本 : 1.00.00
0 e1 t8 G% l4 M3 P// 发布日期 : 2005.06.02
8 L. I; B/ ^( }: L# d- ~/////////////////////////////////////////////////////////////////
' H& u) F$ v( a0 q8 L4 r/ t// 重   大   修   改   历   史
# C& P0 [3 r1 J$ f1 H5 v% R2 Z/ U0 r/////////////////////////////////////////////////////////////////
// 修改者 : sinister
// 修改日期 : 2007.2.12
9 i' [- p7 x' |- V. O! m7 H// 修改内容 : 为匹配 USB 键盘驱动做了相应的修改
/////////////////////////////////////////////////////////////////

* z7 N$ z1 F! X* G; [# r+ E3 ?3 T9 {; qBOOLEAN
* D2 U4 U% V- u  f7 X/ v8 d& m$ xGetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj )
{
6 B% _+ s% ~% e1 Y7 U- |  PDEVICE_OBJECT DeviceObject;
, o7 m9 x& g* ]; y5 q+ ]+ m/ A0 d  BOOLEAN bFound = FALSE;
  B  X- A) j9 J: N, D" `, g; Q
  if ( DevObj == NULL )
  {
    DbgPrint( "DevObj is NULL!\n" );
    return FALSE;
  }

  DeviceObject = DevObj->AttachedDevice;

  while ( DeviceObject )
+ m# s2 v9 r1 |: G" u  {
    //
    // 一些 OBJECT 的名称都存在分页区，虽然大部分时候不会被交换出去，但
    // 有一次足够了。这算是经验之谈
: c6 j. O) Z- r& X, j8 x1 P3 V% K    //
) q+ Q3 Q& E' \6 M; k, v8 z    if ( MmIsAddressValid( DeviceObject->DriverObject->DriverName.Buffer ) )
9 P2 G1 [8 B" W# i  j, a) P  _3 e" w    {
      DbgPrint( "Attached Driver Name:%S,Attached Driver Address:0x%x,Attached DeviceAddress:0x%x\n",
                DeviceObject->DriverObject->DriverName.Buffer,
                DeviceObject->DriverObject,
% ^2 ^; B  @8 Y$ Q0 O) u+ O* T                DeviceObject );

      //
$ B' x0 C4 r- \0 E# b      // 找到 USB 键盘驱动的 kbdhid 设备了么？找到了就不继续了
      //
      if ( _wcsnicmp( DeviceObject->DriverObject->DriverName.Buffer,
! L  a! J1 c1 o3 F5 G: j0 _: ?                      KDBDEVICENAME,
                      wcslen( KDBDEVICENAME ) ) == 0 )
      {
        DbgPrint( "Found kbdhid Device\n" );
, h" J. p/ d  R4 o+ f/ W        bFound = TRUE;
  W# N/ w( G4 @& `) `/ f$ s3 U$ F' H8 Z        break;
4 }  P# l& n' ]7 @+ g      }
; V: Q8 A* P0 o; Z. b7 U9 u    }

, T8 V: }' ]; i" p    DeviceObject = DeviceObject->AttachedDevice;
  }

  return bFound;
. \# f  a1 |* d9 g}
  y2 \, S3 M6 R$ o2 N
: y% g; Z) Z4 O2 U: g( \) ~* C/////////////////////////////////////////////////////////////////
/ _) L  A* Y" G3 A0 D// 函数类型 : 自定义工具函数
: [: I1 V6 A8 H9 V+ R// 函数模块 : 设备栈信息模块
/////////////////////////////////////////////////////////////////
// 功能 : 从 DEVICE_OBJECT 中得到设备与驱动名称并打印地址
// 注意 : 函数功能只是打印信息，不同环境使用中应该会做修改
/////////////////////////////////////////////////////////////////
// 作者 : sinister
! e- B+ T# p* C: R0 L// 发布版本 : 1.00.00
// 发布日期 : 2006.05.02
6 p% Z( w9 {: l! r, O  E/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
/////////////////////////////////////////////////////////////////
// 修改者 : sinister
// 修改日期 : 2007.2.12
// 修改内容 : 打印出 USB 键盘驱动的设备名称，仅作调试使用
* u( L* z2 T5 {4 F/////////////////////////////////////////////////////////////////
+ n7 c- h2 \: J6 j
; g2 m$ Q0 X! E5 SVOID
5 h: {8 J+ F! ^! v5 _- R# q6 xGetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj )
# J3 K+ I. f  y& x& G" a{
$ m7 s( \9 `) @8 X0 |* T( a$ M  POBJECT_HEADER ObjectHeader;
  POBJECT_HEADER_NAME_INFO ObjectNameInfo;
! Q5 J$ K9 W) v( j! B% g" S& @1 D
  if ( DevObj == NULL )
. r+ W1 d9 S1 N/ r  {
9 n' m3 E7 a- |6 D0 K    DbgPrint( "DevObj is NULL!\n" );
. v+ l% @7 F9 t( _* E    return;
  }

  //
  // 得到对象头
  //
, Z+ H1 B# s' k3 X, C: g  ObjectHeader = OBJECT_TO_OBJECT_HEADER( DevObj );
% q. p4 z+ m2 i1 ]! p
  if ( ObjectHeader )
  {
" f# P! M6 G7 x& x9 _+ Q7 B    //
, G/ r7 M& S3 U' Q  O5 `$ m    // 查询设备名称并打印
4 \7 ^8 o5 |- Y/ ~7 X    //
    ObjectNameInfo = OBJECT_HEADER_TO_NAME_INFO( ObjectHeader );
' d: s# R; ]& x$ j2 Y" H+ f
  {* [$ q1 a, Y: ^, V: j    if ( ObjectNameInfo && ObjectNameInfo->Name.Buffer )
: c, S0 u* e- _+ `1 a( C) V+ g3 {    {
  D1 e* C5 u' O9 ]% W& h+ {% p0 s( \# Q      DbgPrint( "Device Name:%S - Device Address:0x%x\n",
$ G, T2 X, S; t                ObjectNameInfo->Name.Buffer,
                DevObj );

6 b; I' r/ O3 k: h1 r" y2 V$ |/ D      //
      // 复制 USB 键盘设备名到一个全局 BUFFER 里，为调试时显示
4 g3 j4 h6 s& O* P      // 用，没有实际的功能用途
      //
& M  _' X, U+ c3 d3 {9 |* Y( L8 J, a      RtlZeroMemory( szUsbDeviceName, sizeof( szUsbDeviceName ) );
( v$ j  c2 W; U
      wcsncpy( szUsbDeviceName,
               ObjectNameInfo->Name.Buffer,
               ObjectNameInfo->Name.Length / sizeof( WCHAR ) );
    }
# c; y1 f- M4 k# A& }. b
    //
    // 对于没有名称的设备，则打印 NULL
7 ^! Z7 M! T: K1 U* a; A# O    //
* o1 R, k) h5 j/ B* h  O8 D6 |    else if ( DevObj->DriverObject )
  B  G3 |- O' ?' o- J    {
      DbgPrint( "Driver Name:%S - Device Name:%S - Driver Address:0x%x - Device Address:0x%x\n",
                DevObj->DriverObject->DriverName.Buffer,
9 Q1 c/ p6 e& A( f+ F" r. Q5 m6 ?                L"NULL",
0 y: g5 \3 B; \& c! s                DevObj->DriverObject,
3 A+ t( @' B; O, T" q3 p                DevObj );
, f" J2 ~1 w) A2 K  \    }
6 ~) [$ r9 b/ M0 N  }
* U9 K* H) O- v; ]}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
0 I& N1 N+ ]& _8 f% F# E// 函数模块 : 键盘过滤模块
/////////////////////////////////////////////////////////////////
// 功能 : 得到 USB 驱动 hidusb 的驱动对象，并遍历以上所有设备
//        对象，过滤出 USB 键盘设备，将其设备对象返回
9 r% d2 r' G& j' j// 注意 :
' d" o0 b4 J" h( v/ R/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
- y/ [9 v: O  Y8 ]0 a8 R. z// 发布日期 : 2007.02.13
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
7 `# X6 ?. U% l+ e. O2 [6 A) g/////////////////////////////////////////////////////////////////
2 M4 d+ b$ ?$ T1 ]1 ?0 B; }: ^// 修改者 :
: x, x6 R; p3 E: Y) ]// 修改日期 :
// 修改内容 :
  R. c) N$ y2 ^/////////////////////////////////////////////////////////////////

NTSTATUS
GetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject )
5 r! j+ X4 u9 \; k' ?9 _{
2 a! S- W3 \& O) }  R% B/ [, [3 f  UNICODE_STRING DriverName;
. W, W4 O8 \# ?% h  PDRIVER_OBJECT DriverObject = NULL;
1 A2 B! `" D- E$ N" V% [  PDEVICE_OBJECT DeviceObject = NULL;
  BOOLEAN bFound = FALSE;
& e& X- D/ ?& O5 W! @
  RtlInitUnicodeString( &DriverName, USBKEYBOARDNAME );

' A9 ]2 M" ]  @: ~2 O  ObReferenceObjectByName( &DriverName,
                           OBJ_CASE_INSENSITIVE,
                           NULL,
5 u7 q; ^, O6 C; f5 F( v                           0,
" ?" d: W9 b  ?* S' H6 \1 ]                           ( POBJECT_TYPE ) IoDriverObjectType,
+ r6 z! E3 |: _5 S) ]5 [8 p( J                           KernelMode,
                           NULL,
                           &DriverObject );

  if ( DriverObject == NULL )
  {
4 e. x6 `) }! h: s    DbgPrint( "Not found USB Keyboard Device hidusb!\n" );
    return STATUS_UNSUCCESSFUL;
  }

  DeviceObject = DriverObject->DeviceObject;

4 {& s, e8 v. N+ z8 y/ M  while ( DeviceObject )
7 h, O; e( v5 j: Z  {
    GetDeviceObjectInfo( DeviceObject );

    if ( DeviceObject->AttachedDevice )
1 _1 t7 j; Y- a; _7 p! Z3 }    {
      //
; y' v- F7 }. f9 b( I; \      // 查找 USB 键盘设备
      //
      if ( GetAttachedDeviceInfo( DeviceObject ) )
% \7 c7 ~( w( ^$ k      {
        bFound = TRUE;
        goto __End;
+ j. @$ A9 H9 j      }
    }

4 x/ t' X' g: r    DeviceObject = DeviceObject->NextDevice;
  }

  __End:
1 L1 w+ D. A& r* w/ h8 D$ H
  if ( bFound )
  {
9 G7 x3 J& p7 z+ X4 `    //
    // 找到则返回 USB 键盘设备对象
    //
; ~3 d( }% t4 A1 ~5 ?    *UsbDeviceObject = DeviceObject;
' S0 R. `) s! l% ~- L  }
' L4 q. J# x! J5 ~) Y+ T# V& v  r  else
  {
    *UsbDeviceObject = NULL;
  }
* I8 V5 G5 A: A3 M3 \
  return STATUS_SUCCESS;
6 d# ~. {; z1 U}
0 n# v( _( R' b: }% J+ q+ n
/////////////////////////////////////////////////////////////////
$ t3 H9 D& e( C" N/ G+ ]: e7 }// 函数类型 : 自定义工具函数
, e, Q2 _1 _/ r2 s- `// 函数模块 : 键盘过滤模块
" d8 E$ `3 Z4 o& p" q3 X/ e3 H////////////////////////////////////////////////////////////////
// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
//        信息，返回附加后的驱动对象
7 T+ o6 K: a1 l8 f5 G- J" w// 注意 : 此函数仅挂接 USB 键盘设备
# {# k- ~& L" E8 I/////////////////////////////////////////////////////////////////
// 作者 : sinister
$ O) X5 {+ J: d. Z// 发布版本 : 1.00.00
, X8 C; k1 e$ t4 V2 P1 T+ p// 发布日期 : 2005.12.27
' N" u+ z9 e% a# t; u/////////////////////////////////////////////////////////////////
: Z( g0 C( {. t" `) `8 p// 重   大   修   改   历   史
3 ?: L. ]$ O! E& K////////////////////////////////////////////////////////////////
// 修改者 :
// 修改日期 :
// 修改内容 :
/////////////////////////////////////////////////////////////////

NTSTATUS
AttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
, i# ]8 J& J: k' R$ Z! Z                         IN PDRIVER_OBJECT  DriverObject )
{
  PDEVICE_OBJECT DeviceObject;
: x" D5 |+ [, @9 w6 y  PDEVICE_OBJECT TargetDevice;
  PDEVICE_EXTENSION DevExt;
  w7 U/ x0 ?( ~$ [& k& ]& h- E  NTSTATUS ntStatus;

" F" ?2 a3 R) S/ `3 k$ P3 m  //
; M) g: O3 F5 ~) S' X6 h  g  // 创建过滤设备对象
  //
+ A8 e2 D+ D9 ]+ g5 C: |  ntStatus = IoCreateDevice( DriverObject,
1 a1 }& B5 Q1 y( h                             sizeof( DEVICE_EXTENSION ),
6 Z3 Z$ _' _7 Y: S                             NULL,
  J* W0 V$ ]  f( @: ], o                             FILE_DEVICE_UNKNOWN,
                             0,
* p! T7 }  }1 e( Z9 i4 f                             FALSE,
                             &DeviceObject );
2 k* m; l6 V) O! e7 a7 g
( C" d$ y7 s. i  if ( !NT_SUCCESS( ntStatus ) )
. t" {5 w: p6 t  {
- B! j8 d- x! q. k  x9 P2 c    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
) q9 G( n& F( c1 G0 j, {, m& i; e    return ntStatus;
  }
5 s3 m3 Y1 t3 c0 t
  DevExt = ( PDEVICE_EXTENSION ) DeviceObject->DeviceExtension;

! A& U0 ~+ ]/ g/ C/ L0 ^/ L6 D, ~0 k  //
  // 初始化自旋锁
2 b& l: W' H% K  l9 A  //
  KeInitializeSpinLock( &DevExt->SpinLock );
. b6 t+ e9 [9 V; t9 K
% b. j9 H: \; M# P9 p  //
& v: v$ g9 u# T2 m4 q  ~  // 初始化 IRP 计数器
  //
  DevExt->IrpsInProgress = 0;
/ i6 A5 c# @7 r. g
  //
; w7 f! p& B; d( a2 o  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
6 q8 B- Y+ ^. B0 m# b* c  //
4 q* w3 O8 ]' V6 b* C
; s+ _/ x; L' w. s  r  TargetDevice = IoAttachDeviceToDeviceStack( DeviceObject, UsbDeviceObject );
9 p  x. B' R% ~) k4 y' ?7 v  if ( !TargetDevice )
  {
4 m7 F! a. A! R( K    IoDeleteDevice( DeviceObject );
9 B& d0 h' r1 s4 }+ v& ^    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
    return STATUS_INSUFFICIENT_RESOURCES;
  }
1 W4 W! |: S1 [/ Q# @/ n3 H' }
  //
1 T1 V/ {1 {; b& H5 a  // 保存过滤设备信息
& V5 x' S1 n9 M* r" |  //
2 |8 X/ O$ h9 {/ h, c- ~. B, |  DevExt->DeviceObject = DeviceObject;
  DevExt->TargetDevice = TargetDevice;

% q' n. D/ F: @3 |  //
5 B( B) A3 J; a% d3 c+ f  // 设置过滤设备相关信息与标志
0 O$ G: y9 d, d& O+ i' z  //
: F5 T0 {: |3 ~7 d. \  DeviceObject->Flags |= ( DO_BUFFERED_IO | DO_POWER_PAGABLE );
  DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;


( n4 o1 Q% ^) a/ ]  return STATUS_SUCCESS;
}

/////////////////////////////////////////////////////////////////
// 函数类型 : 自定义工具函数
$ R- Y! v; `; P  i# w// 函数模块 : 键盘过滤模块
- ]& `* y+ ^6 f////////////////////////////////////////////////////////////////
9 Z4 q: r/ Z/ s+ L& ~// 功能 : 创建过滤设备将其附加到需要跟踪的设备上，保存设备相关
//        信息，返回附加后的驱动对象
) C6 c. Y% ?6 D) Q  p( Q// 注意 : 此函数仅挂接 PS/2 键盘设备
! I) U) A' ?7 m, Y6 A0 q/////////////////////////////////////////////////////////////////
( H+ K# @% U6 ?7 j$ f// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2005.12.27
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
: U( F. A8 o4 h" A////////////////////////////////////////////////////////////////
// 修改者 :
! [( t6 @2 F# k// 修改日期 :
4 U) l5 y( C! V2 W0 `7 }// 修改内容 :
0 M) m. g) [) k0 `: x, Y% M/////////////////////////////////////////////////////////////////

- P5 G8 ]- k" F. YNTSTATUS
6 {2 B& i: z4 L2 \9 x( J) JAttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName, // 需要跟踪的设备名
3 S6 f/ m1 M8 Z+ w. X4 A                         IN PDRIVER_OBJECT  DriverObject, // 过滤驱动也就是本驱动的驱动对象
                         OUT PDRIVER_OBJECT* FilterDriverObject ) // 返回附加后的驱动对象
{
  PDEVICE_OBJECT DeviceObject;
  PDEVICE_OBJECT FilterDeviceObject;
  PDEVICE_OBJECT TargetDevice;
8 b" ?6 ]( F) w  PFILE_OBJECT FileObject;
% C9 d& J# f8 X; ?  PDEVICE_EXTENSION DevExt;

  NTSTATUS ntStatus;
9 D$ K: G* A1 F& }3 D4 }
% e6 N2 Y& F" K+ o  //
  // 根据设备名称找到需要附加的设备对象
  //
- ?' F' N7 E3 j9 q7 z3 h. f# ?6 M3 K  ntStatus = IoGetDeviceObjectPointer( DeviceName,
8 {, k$ G* ~1 u                                       FILE_ALL_ACCESS,
1 U6 {& \" x# r                                       &FileObject,
                                       &DeviceObject );

  if ( !NT_SUCCESS( ntStatus ) )
5 }; M- Q0 ~  m& d4 d9 D5 R5 O7 ?  {
0 ~6 j  c! a+ M7 Z: G    DbgPrint( "IoGetDeviceObjectPointer() 0x%x\n", ntStatus );
' g1 S5 d' P6 z( P* v; w8 B) f9 Q    return ntStatus;
4 F4 z3 o& L# `  }

  //
' I% U- R, q/ h2 b1 z8 {# v9 x  // 创建过滤设备对象
2 R- E' D/ f$ J  //
& K8 }( E: F7 f: T  ntStatus = IoCreateDevice( DriverObject,
- h! z( j6 |. M; k" ]                             sizeof( DEVICE_EXTENSION ),
) V- L4 o/ U4 k( [# ]; ^6 n/ T                             NULL,
+ x) T# I* d/ ~                             FILE_DEVICE_KEYBOARD,
                             0,
                             FALSE,
                             &FilterDeviceObject );

) w+ ^3 ?2 `1 [$ ]# X4 e7 R  if ( !NT_SUCCESS( ntStatus ) )
# E, w7 V; ~  o- X% |" _& l- ^7 L  {
0 b# k0 _$ t6 B, S) |* S    ObDereferenceObject( FileObject );
    DbgPrint( "IoCreateDevice() 0x%x!\n", ntStatus );
* Z* c0 R9 ~! \+ t4 x/ E    return ntStatus;
; S1 n3 }; L1 h) D& W' E  }

  //
  // 得到设备扩展结构，以便下面保存过滤设备信息
  //
  DevExt = ( PDEVICE_EXTENSION ) FilterDeviceObject->DeviceExtension;
' [5 {( G. c* |# `+ H

5 j" I) p0 i# D3 ?$ @  //
8 J6 M& Q/ X, @  // 初始化自旋锁
! {* q, H4 R+ A. d4 x  //
  KeInitializeSpinLock( &DevExt->SpinLock );

! E% v& u2 b+ u% y7 S" B% S  //
  // 初始化 IRP 计数器
% K* X0 n5 C" I3 r- z8 ?  //
  DevExt->IrpsInProgress = 0;
( G9 z1 E8 p7 U# u0 _2 X$ g! {2 r
* l5 I& |" r0 @$ o" h2 g' _  //
  // 将过滤设备对象附加在目标设备对象之上，并返回附加后的原设备对象
  //
  TargetDevice = IoAttachDeviceToDeviceStack( FilterDeviceObject,
2 f) k$ d9 Y. W" [                                              DeviceObject );
  if ( !TargetDevice )
8 _2 p5 t& ~; W2 D  {
1 E. X) H# r  s! I    ObDereferenceObject( FileObject );
    IoDeleteDevice( FilterDeviceObject );
    DbgPrint( "IoAttachDeviceToDeviceStack() 0x%x!\n", ntStatus );
    return STATUS_INSUFFICIENT_RESOURCES;
; M, x0 Q# S3 g8 H# p5 F5 T; M  }
" K& H9 Q: u* _
  //
  // 保存过滤设备信息
5 E- u- L2 j; ?) T- D8 s; [0 ]  //
' F! v' [( m0 q$ N. Q) {  DevExt->DeviceObject = FilterDeviceObject;
0 e+ n# ]6 i. l6 m1 ~3 j4 P+ v  DevExt->TargetDevice = TargetDevice;
  DevExt->pFilterFileObject = FileObject;

; f; a$ F% N8 ^3 @- R; U( x. t! T/ w  //
* N# }/ `* t. s  // 设置过滤设备相关信息与标志
/ Q" X6 R! V4 {' \, A3 w0 z' f9 {  //
' |7 o% y! q- x0 Z$ }% e9 [; B  FilterDeviceObject->DeviceType = TargetDevice->DeviceType;
  FilterDeviceObject->Characteristics = TargetDevice->Characteristics;
0 W2 D3 r5 j. Z. z& B0 U  FilterDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
9 q; i& }9 R  ]% N9 `  FilterDeviceObject->Flags |= ( TargetDevice->Flags & ( DO_DIRECT_IO |
; v9 h* b: {$ T$ k$ J                                                         DO_BUFFERED_IO ) );

' ]/ _/ G& P- s0 D# \$ y4 I5 s  //
  // 返回附加后的驱动对象
: {$ w# \8 x3 i  //
  *FilterDriverObject = TargetDevice->DriverObject;

. U- \! i( B8 S  ObDereferenceObject( FileObject );
, l9 v2 b, v5 e$ R
. Y# V% C3 U4 S  return STATUS_SUCCESS;
}
" Q6 |' i9 P- K7 L* r
/////////////////////////////////////////////////////////////////
% W1 \/ k5 G+ H// 函数类型 : 自定义工具函数
* o, k  Q. F+ J7 y1 Y% k// 函数模块 : 键盘过滤模块
4 _- r8 u" q- a7 O; B4 u; Z////////////////////////////////////////////////////////////////
// 功能 : 键盘过滤驱动的 IRP_MJ_READ 派遣例程，所有按键将触发
//        这个 IRP 的完成
// 注意 :
/////////////////////////////////////////////////////////////////
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2007.2.15
" ~; M! W4 Q$ s2 c/////////////////////////////////////////////////////////////////
/ k: `. I8 f2 X0 U/ ?& F! N// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
+ k& g4 _3 c+ t2 Q// 修改者 :
5 b! Z  ], G- K) @. B5 }+ d: [. s// 修改日期 :
. L4 u' @: t8 J+ m, k: @// 修改内容 :
/////////////////////////////////////////////////////////////////

5 L2 B/ O. a# R5 u5 t$ ?, ZNTSTATUS
KeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
; A9 |9 i1 W1 q+ g{
  NTSTATUS status;
; |- R/ K6 O* G# h1 J4 m  KIRQL IrqLevel;

: M. ~, e# f) _/ Y0 I  PDEVICE_OBJECT pDeviceObject;
. F5 a4 b+ ?+ g) s/ C, }  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
/ @& Y/ J6 l. S& J                                   DeviceObject->DeviceExtension;


  IoCopyCurrentIrpStackLocationToNext( Irp );
" y) E- @/ F1 Y- W: O$ r' R
  G6 K; \& j9 X0 a: a0 F% e  //
  // 将 IRP 计数器加一，为支持 SMP 使用自旋锁
  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
8 L6 L8 N; _) ^& l5 C  InterlockedIncrement( &KeyExtension->IrpsInProgress );
  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );
  m7 v! @" o3 Q, C+ O# h3 y3 X6 |
: a5 l4 N( \0 |. c  IoSetCompletionRoutine( Irp,
                          KeyReadCompletion,
) H. A8 x/ D8 s3 W& ]" Z, }                          DeviceObject,
                          TRUE,
                          TRUE,
# A& c4 I; k3 M& e                          TRUE );

  return IoCallDriver( KeyExtension->TargetDevice, Irp );
. b9 E* e" g6 A/ n}
" y7 L3 d& g6 g3 H$ `8 F
/////////////////////////////////////////////////////////////////
// 函数类型 ：系统回调函数
3 h8 H+ K  F( C4 v2 w% L// 函数模块 : 键盘过滤模块
////////////////////////////////////////////////////////////////
9 t3 q% }# O" u8 b' b- b1 A// 功能 ： 获得键盘按键，用无效扫描码替换，以达到屏蔽键盘的目的
// 注意 ：
/////////////////////////////////////////////////////////////////
0 h1 V2 T' ?9 U5 {% b// 作者 : sinister
2 F) ?- o8 P5 k8 y7 C// 发布版本 : 1.00.00
  {5 j2 r& V4 C6 |3 d// 发布日期 : 2007.2.12
/////////////////////////////////////////////////////////////////
// 重   大   修   改   历   史
////////////////////////////////////////////////////////////////
// 修改者 :
: k8 T! f1 m3 X4 r4 y/ y- ]// 修改日期 :
// 修改内容 :
% @, m0 |  x/ `7 ]; Y  F/////////////////////////////////////////////////////////////////

" n" }1 N  o4 F, r* j9 P' m& NNTSTATUS
: a( U" }7 I) }KeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
0 t1 l1 V/ p1 O: ]2 v8 P                   IN PIRP Irp,
$ ?, E* w% m  X8 {+ L! f- o                   IN PVOID Context )
! N1 d; D* j) B2 H{
  PIO_STACK_LOCATION IrpSp;
4 J" p6 N0 s: M; O  n  H: }" v  PKEYBOARD_INPUT_DATA KeyData;
3 [) m( S6 G0 f& k; q; X  PDEVICE_EXTENSION KeyExtension = ( PDEVICE_EXTENSION )
                                   DeviceObject->DeviceExtension;
  int numKeys, i;
  KIRQL IrqLevel;
9 X( E1 j. T1 r) w
  IrpSp = IoGetCurrentIrpStackLocation( Irp );
6 y8 b6 E" m' x

# R6 j. I) T8 R% G$ V  if ( Irp->IoStatus.Status != STATUS_SUCCESS )
  {
    DbgPrint( "ntStatus:0x%x", Irp->IoStatus.Status );
' h$ T, m: W1 I% H5 {    goto __RoutineEnd;
  }
; a) k5 H% t4 M9 H
3 h2 G0 P9 ]5 ^/ i  //
% T, \9 y: C4 ?+ Y, S- C3 c% ~( H  // 系统在 SystemBuffer 中保存按键信息
  //
6 k& ]4 o% L' S' p3 A  KeyData = Irp->AssociatedIrp.SystemBuffer;
$ \4 s% a  L! Z! U  if ( KeyData == NULL )
" _- b. B  J. r1 ^  {
    DbgPrint( "KeyData is NULL\n" );
' U9 o" _/ ^0 ^) q: b2 t! h* O    goto __RoutineEnd;
" U, R/ j: ^" h9 ^2 p  }
8 F+ Z* |  P& w( k4 k) i9 R+ u
  //
  // 得到按键数
  //
2 ?! c; B$ `4 c" r1 }, c  numKeys = Irp->IoStatus.Information / sizeof( KEYBOARD_INPUT_DATA );
) g; x, Q+ X. ?" u1 r" `/ a4 ^  if ( numKeys < 0 )
6 y8 R9 u1 g( K8 E  {
3 ~' k9 c/ W# ?    DbgPrint( "numKeys less zero\n" );
    goto __RoutineEnd;
  }

& ^$ a) Z) z( F8 u0 |  //
! c, \( o4 C/ p6 g9 n- f  // 使用 0 无效扫描码替换，屏蔽所有按键
  //
  for ( i = 0; i < numKeys; i++ )
  {
    DbgPrint( "KeyDwon: 0x%x\n", KeyData[i].MakeCode );
, v) X! h" z! c- P0 u8 G    KeyData[i].MakeCode = 0x00;
  }


  __RoutineEnd :
6 M6 _$ d! z% X, B" k
  if ( Irp->PendingReturned )
  {
0 p' P1 a6 y( a- s7 |/ Q" m    IoMarkIrpPending( Irp );
  }
& x8 z3 Z& u9 _. [# _3 t
  //
( |9 r1 ]* L3 I8 A5 [7 j, D4 c  // 将 IRP 计数器减一，为支持 SMP 使用自旋锁
  //
  KeAcquireSpinLock( &KeyExtension->SpinLock, &IrqLevel );
  InterlockedDecrement( &KeyExtension->IrpsInProgress );
  KeReleaseSpinLock( &KeyExtension->SpinLock, IrqLevel );
) X/ C0 u  p  \0 g2 R
+ M2 I: l. Y4 j0 L  return Irp->IoStatus.Status ;
}
: r9 X$ \* n5 N$ n

/*****************************************************************
文件名        : WssLockKey.h
$ j0 k0 C  F3 W% O' i 描述          : 键盘过滤驱动
. ^3 A6 L9 p( _ 作者          : sinister
: _3 d' ~' N. D 最后修改日期  : 2007-02-26
  S4 F" i) \' A% K- g; M/ _+ E5 |*****************************************************************/
) X3 y- `- ~( R. t# I' V0 E2 W9 n2 o
- G" I: \2 D1 z" u0 D' h#ifndef __WSS_LOCKKEY_H_
+ s- Z9 t; D, e, x" M#define __WSS_LOCKKEY_H_

#include "ntddk.h"
( ?- @8 ^$ X1 @9 h1 a#include "ntddkbd.h"
. U9 k5 @0 J7 j#include "string.h"
! {5 q& A% a8 d' I9 n#include
; K3 N7 V6 g1 x4 q6 T
* |& m# a7 Z; t6 O" z0 C- c1 N#define MAXLEN 256

  J7 o8 _; ?8 u% g" z#define KDBDEVICENAME L"\\Driver\\kbdhid"
#define USBKEYBOARDNAME L"\\Driver\\hidusb"
#define PS2KEYBOARDNAME L"\\Device\\KeyboardClass0"
+ b2 x) e+ ?6 X: Y3 g
. T, F1 m! X2 j3 c, c8 D. [typedef struct _OBJECT_CREATE_INFORMATION
- B/ c: G4 m' X+ F* J* W0 T, F- ~{
    ULONG Attributes;
1 d( q) ^+ Z8 W9 q/ \3 M    HANDLE RootDirectory;
. l$ @6 Y% d' ]) k$ ?7 h    PVOID ParseContext;
    KPROCESSOR_MODE ProbeMode;
4 A' f7 R! p1 ?& ^    ULONG PagedPoolCharge;
    ULONG NonPagedPoolCharge;
$ w( H2 y0 z# k0 {7 R  s    ULONG SecurityDescriptorCharge;
    PSECURITY_DESCRIPTOR SecurityDescriptor;
    PSECURITY_QUALITY_OF_SERVICE SecurityQos;
    SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
} OBJECT_CREATE_INFORMATION, * POBJECT_CREATE_INFORMATION;

typedef struct _OBJECT_HEADER
6 j% X- `/ d0 N7 L{
    LONG PointerCount;
: D* Q% `/ q7 T% T    union
    {
        LONG HandleCount;
        PSINGLE_LIST_ENTRY SEntry;
" T/ a* s4 e; Y7 e    };
3 n$ B0 o8 T  {# W    POBJECT_TYPE Type;
    UCHAR NameInfoOffset;
+ Y) E: ~9 ~4 h    UCHAR HandleInfoOffset;
. y& @. ^3 ?6 K( p& P    UCHAR QuotaInfoOffset;
    UCHAR Flags;
    union
0 P) I9 T9 f+ I( O    {
        POBJECT_CREATE_INFORMATION ObjectCreateInfo;
% P: ~0 ^, N2 x) ^        PVOID QuotaBlockCharged;
& c! F& ~5 U; I: W    };

    PSECURITY_DESCRIPTOR SecurityDescriptor;
- M) L% N" T- Q" R7 u5 v5 R    QUAD Body;
} OBJECT_HEADER, * POBJECT_HEADER;

#define NUMBER_HASH_BUCKETS 37
5 ?5 x6 p+ \  g' U# k& S
typedef struct _OBJECT_DIRECTORY
{
* m  A# j8 m: P9 z$ }  E! e0 N    struct _OBJECT_DIRECTORY_ENTRY* HashBuckets[NUMBER_HASH_BUCKETS];
    struct _OBJECT_DIRECTORY_ENTRY** LookupBucket;
3 O6 U, q8 _; {1 D, L- @/ N8 I. c    BOOLEAN LookupFound;
    USHORT SymbolicLinkUsageCount;
% k' {/ @( F7 v* j6 \    struct _DEVICE_MAP* DeviceMap;
( Q8 w# E. x5 [) P} OBJECT_DIRECTORY, * POBJECT_DIRECTORY;
! e' ?+ l5 i" @8 G
typedef struct _OBJECT_HEADER_NAME_INFO
{
! ?) X) K6 I' i- R) k0 _, `    POBJECT_DIRECTORY Directory;
    UNICODE_STRING Name;
' x$ ^% r6 y; G# o    ULONG Reserved;
#if DBG
    ULONG Reserved2 ;
    LONG DbgDereferenceCount ;
0 s: i* C; q: @2 l* r#endif
} OBJECT_HEADER_NAME_INFO, * POBJECT_HEADER_NAME_INFO;
( T% Z( }) x( ^/ t# a+ P2 |
) N. U) y( s! ]; p% \; W#define OBJECT_TO_OBJECT_HEADER( o ) \
    CONTAINING_RECORD( (o), OBJECT_HEADER, Body )
1 ?- q# D% e" v0 t. w' Y* A& Y
- N: y$ R/ n& i% }5 j1 c# R9 P#define OBJECT_HEADER_TO_NAME_INFO( oh ) ((POBJECT_HEADER_NAME_INFO) \
8 p+ ?: ?6 J; @$ L* S4 ?    ((oh)->NameInfoOffset == 0 ? NULL : ((PCHAR)(oh) - (oh)->NameInfoOffset)))
2 q1 a# d9 s( P0 R/ p8 T
typedef struct _DEVICE_EXTENSION
( w" X+ b/ d1 n; F( r6 ~" w3 \{
. X7 v% L. w' o) c! B    PDEVICE_OBJECT DeviceObject;
    PDEVICE_OBJECT TargetDevice;
5 o, Z& \  j* k! f0 F, W9 m    PFILE_OBJECT pFilterFileObject;
    ULONG DeviceExtensionFlags;
  t; q2 D: W) [' _) I" N- M/ F    LONG IrpsInProgress;
: B% V! v! [, C% _) f    KSPIN_LOCK SpinLock;
}DEVICE_EXTENSION, * PDEVICE_EXTENSION;
* m! c. W# Q; j( K, }

VOID
! M8 ?/ t! j# x( i5 E1 qKeyDriverUnload( PDRIVER_OBJECT KeyDriver );

BOOLEAN
CancelKeyboardIrp( IN PIRP Irp );

/ c* Q- z3 ~9 [$ H. m# Zextern POBJECT_TYPE* IoDriverObjectType;
, O- F5 s, x( Z. f6 z6 n2 h5 a, ~" l
, g2 o5 i& Z2 d  B* @- GNTSYSAPI
NTSTATUS
NTAPI ObReferenceObjectByName( IN PUNICODE_STRING ObjectName,
                               IN ULONG Attributes,
                               IN PACCESS_STATE AccessState OPTIONAL,
                               IN ACCESS_MASK DesiredAccess OPTIONAL,
4 G! y& O4 O9 {                               IN POBJECT_TYPE ObjectType,
                               IN KPROCESSOR_MODE AccessMode,
* P' B' x3 N' k% z' X0 G! M% A1 ?9 r                               IN OUT PVOID ParseContext OPTIONAL,
                               OUT PVOID* Object );
9 x9 @: s. E+ O: v4 u* D8 ?& p
NTSTATUS
' n  D; @2 W( s: U& k+ G* }GetUsbKeybordDevice( OUT PDEVICE_OBJECT* UsbDeviceObject );
6 N& }, E6 ?2 T. g2 }
9 b) D  T5 `! f: R+ ~) w( M* jBOOLEAN
GetAttachedDeviceInfo( IN PDEVICE_OBJECT DevObj );
6 W( O1 T; \3 u* H, M9 x+ _
; g/ S4 b1 p# r& U( ~; yVOID
GetDeviceObjectInfo( IN PDEVICE_OBJECT DevObj );
; U, M0 Z5 F4 B. j( Z; |
* O* E: w$ x+ V* U, R) i4 U0 Q0 _NTSTATUS
AttachUSBKeyboardDevice( IN PDEVICE_OBJECT UsbDeviceObject,
                                  IN PDRIVER_OBJECT  DriverObject );
( K8 P" |2 c7 m1 y/ \% B$ I# V3 q3 [
+ V2 U$ P% ?# Z/ `NTSTATUS
AttachPS2KeyboardDevice( IN UNICODE_STRING* DeviceName,
6 R( ?- Q/ z5 C, y4 v                                  IN PDRIVER_OBJECT  DriverObject,
                                  OUT PDRIVER_OBJECT* FilterDriverObject );

5 E6 e' O6 O2 U! W- B: ZNTSTATUS
8 o2 [- r4 B; o' r0 o: mKeyReadCompletion( IN PDEVICE_OBJECT DeviceObject,
                            IN PIRP Irp,
                            IN PVOID Context );
NTSTATUS
* `6 Y6 j9 N* v" k' ]) L- TKeyReadPassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp );

WCHAR szUsbDeviceName[MAXLEN];

#endif
/ o6 B% u2 J, [- l! G

3 \3 m. b) s2 n# [1 `# o7 A& m8 B
& ^, H5 o& l) q- T

WSS(Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安全技术的研究。坚持传统的hacker精神，追求技术的精纯。
WSS 主页：[url]http://www.whitecell.org/[/url]
1 S  I0 y" V2 |( z( T6 a& WWSS 论坛：[url]http://www.whitecell.org/forums/[/url]