现在使用全局快捷键的软件越来越多，经常遇到快捷键被占用的情况，想找出被谁占用了，网上找了一些工具，不过都不支持新版本的Win10。于是自己写了一个（支持Win7到最新的Win10 2004 32/64位，XP就不考虑了），本文顺带记录一下分析思路。

众所周知，注册热键需要调用RegisterHotKey，首先看一下函数原型：

简单跟一下RegisterHotKey函数，到ntdll!NtUserRegisterHotKey，看一下NtUserRegisterHotKey函数原型：

可以看到Native的参数和上层API一致，往下则是Shadow SSDT，进入win32k，Win7/Win8/8.1还是win32k.sys，Win10已拆分成win32k/win32kfull/win32kbase三个模块，其中NtUserRegisterHotKey是win32kfull的导出函数。

打开IDA，定位到NtUserRegisterHotKey函数，其调用RegisterHotKey如下：

IDA推导的参数显示有问题，跟一下参数来源，不难知道RegisterHotKey参数1是hWnd，参数2是NULL，参数3是id，参数4是fsModifiers，参数5是vk。

继续跟进RegisterHotKey，直接F5，有两段代码需要注意：

第一段很意图很明显，通过FindHotKey查找热键是否已经注册。

第二段则是若HotKey未找到，则从Win32kPool中分配HotKey数据结构，并填充相应的字段，最后加入Hash表gphkHashTable中。接下来看看结构的填充方式以及Hash表的Index如何计算的。

v19则是HotKey结构体，对照RegisterHotKey参数，很容易分析出下面的偏移代表的字段：

最终可得到结构如下：

至此，热键数据结构已经分析清楚，本文目的是枚举热键，因此关键问题是如何定位gphkHashTable，通常能想到两种方式：

思考片刻，想了一种搜索思路，既然gphkHashTable是全局Hash表，位于DATA段，0x80个Bucket，里面全是HotKey结构，那么可以校验HotKey的vk%0x7F得到Index来检查合法性。其次win32k的DATA段大小也比较合理，因此搜索范围也不大。如果能将表填充完，过滤出内核地址，再配合校验Hash表的HotKey的合法性，应该就能搜索到。

RegHotkey的代码都是一些内存结构运算，依赖少，因此可以注册0x80个vk从1到0x80的vk值来填满Hash表，如果注册成功就记录，枚举完后再取消注册，做清理工作。

如果找到Hash表，删除热键就很简单了，找到对应的HotKey，常规摘单链节点的操作即可。

由于代码全在内核层实现（WDK7601），并且调用者不是GUI线程、Win7注册热键的函数未导出，因此调用RegHotKey会繁琐点，整体流程如下：

下面分段解析，由于热键操作必须访问win32k session空间，而且ThreadInfo还必须存在，因此光Attach到GUI进程是不行的，最简单的方式就插APC到GUI线程。

接着获取NtUser*Hotkey相关函数，注册热键填充Hash表后，后面就可以开始搜索搜索Hash表了，HotKey是由win32k从NonPagedPool中分配，因此用MmIsAddressValid检查无须担心换页问题，具体代码如下：

递归解析Hash表，Dump出系统热键，代码如下所示：

注意：发现输入法的快捷键没有注册到系统热键中，应该是自己管理的，因此这种方式不能被检测到，如果有快捷键占用而没找到，则优先检查输入法设置。

驱动效果如下图所示：

图形化工具下载地址：https://github.com/BlackINT3/OpenArk，点击内核--进入内核模式--查看系统热键：

Thanks for reading...

本文未考虑XP，感兴趣的可以参看其它同学的文章。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课