[原创]HOOK xxxKeyEvent 进行键盘记录-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]HOOK xxxKeyEvent 进行键盘记录 0.00雪花

发表于: 2012-9-1 10:04 3412

[旧帖] [原创]HOOK xxxKeyEvent 进行键盘记录 0.00雪花

SinCoder

活跃值

2012-9-1 10:04

3412

xxxKeyEvent 是 win32k 里面处理键盘消息的，不仅仅是你按下物理键盘产生的消息，远程桌面登录，SendInput 等模拟的键盘消息也可以获取。这样就可以记录远程桌面上的按键消息了，包含用户登录远程桌面时输入的用户名密码等，比较强大。
首先要找到这个函数的地址，我使用的是特征码搜索的方式
选择的特征码：windows xp sp3 的

UCHAR *keycode = "\x83\x88\x24\x0f\x00\x00\x01\x8b\xda\x81\xe3\x00\x80\x00\x00\x85\xdb\x0f\x95\xc1";
/*
win32k!xxxKeyEvent+0x1f
bf847eda 8388240f000001  or      dword ptr [eax+0F24h],1
bf847ee1 8bda            mov     ebx,edx
bf847ee3 81e300800000    and     ebx,8000h
bf847ee9 85db            test    ebx,ebx
bf847eeb 0f95c1          setne   cl
*/

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・9

免费・6

支持

分享

最新回复 (4)
heiheiabcd 雪币： 446 活跃值： (186) 能力值： ( LV12，RANK：230 ) 在线值：发帖 21 回帖 129 粉丝 2 关注私信	heiheiabcd 4 2 楼都用驱动了，还用这种方式，通用性不好，直接过滤驱动不就行了 2012-9-1 20:16 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 3 楼之前挂接到键盘驱动上面只能获得物理键盘的输入远程桌面什么就不行了。。。 2012-9-2 15:26 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 4 楼直接挂接到键盘驱动上面只能获得物理键盘的输入远程桌面什么就不行了。。。 2012-9-2 15:27 0
暗夜有魅雪币： 73 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	暗夜有魅 5 楼嗯嗯，好这个方法不错，远程桌面记录到才是真正的神器 2013-1-31 14:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

SinCoder

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//