4.1 技术原理 & 4.2 键盘过滤框架

4.1 预备知识

符号链接：符号链接其实就是一个“别名”。可以用一个不同的名字来代表一个设备对象（实际上），符号链接可以指向任何有名字的对象。

ZwCreateFile是很重要的函数。同名的函数实际上有两个：一个在内核中，一个在应用层。所以在应用程序中直接调用CreateFile，就可以引发对这个函数的调用。
它不但可以打开文件，而且可以打开设备对象（返回得到一个类似文件句柄的句柄）。所以后面会常常看见应用程序为了交互内核而调用这个函数，这个函数最终调用NtCreateFile。

PDO：Phsiycal Device Object的简称（物理设备对象）。PDO是设备栈最下面的那个设备对象（不精确，但是很实在）

nt!IoGetAttachedDevice、nt!ObpCreatHandle等写法是在调试工具WinDbg中常常出现的表示方法。！号之前的内容表示模块名，而之后的内容表示函数名或变量名。比如 nt!IoGetAttachedDevice表示模块nt中的函数IoGetAttachedDevice。

4.1.2 Windows中从击键到内核

在任务管理器的进程列表中可以看到“csrss.exe”进程。这个进程很关键，它有一个线程叫做win32!RawInputThread，这个线程通过一个GUID(GUID_CLASS_KEYBOARD)获得键盘设备中PDO的符号链接名

应用程序是不能直接根据设备名字打开设备的，一般都通过符号链接名来打开。

简单地说，win32k!RawInputThread线程总是nt!ZwReadFile要求读入数据，然后等待键盘的键被按下。当键盘上的键被按下时，win32k!RawInputThread处理nt!ZwReadFile得到的数据，然后nt!ZwReadFile要求读入数据，再等待键盘上的键被按下。

我们一般看到的PS/2键盘的设备栈，如果自己没有另外安装其他键盘过滤程序，那么设备栈的情况是这样的：
** 最顶层的设备对象是驱动 Kdbclass 生成的设备对象。
** 中间层的设备对象是驱动i8042prt生成的设备对象。
** 最底层的设备对象是驱动ACPI生成的设备对象。
这里只需要知道，接下来要找的是驱动Kdbclass的设备对象。

4.1.3 键盘硬件原理

从键盘被敲到计算机屏幕上出现一个字符，中间有很多复杂的变换。这里需要了解一些知识。
** 键并不是用字符代表，而是给每个键规定了一个扫描码。
** 键盘和CPU的交互方式是中断和读取端口，这个操作是串行的。一次中断发出就等于键盘给CPU发送一个通知，这个通知只能通知一个事件：某个键被被按下，某个键弹起。CPU只能接收通知并读取端口的扫描码，从不主动去“查看”任何键。
** 网上资料查到：如果一个键按下的扫描码为 X，则同一个键弹起的扫描码为 X+0x80。
** Windows XP 下端口和中断号都是定死的，即中断号为0x93，端口号为0x60。每次中断发送，CPU都去读取端口0x60中的扫描码，0x60中只能保存一个字节，但是扫描码是可以有两个字节的，此时会发生两次中断，CPU会先后读取扫描码的两个字节

请注意：比如“同时按下两个键”之类的事情在这种机制下是不可能发生的。无论如何按键，信息的传递都是一次一个字节串行发生的。

4.2 键盘过滤的框架
4.2.1 找到所有的键盘设备

打开驱动对象KdbClass，然后绑定它下面所有的设备。

找驱动下的所有对象：
（1）DRIVER_OBJECT下的DeviceObject，驱动下的所有设备对象都在这个设备链中，可以通过链节点中的域NextDevice依次进行遍历。
（2）调用IoEnumerateDeviceObjectList,这个函数可以枚举出一个驱动下的所有设备。

这里的新函数——ObReferenceObjectByName，它用来通过一个名字获得一个对象的指针。

4.2.2 应用设备扩展

在生成一个过滤设备时，我们可以给这个设备指定一个任意长度的“设备扩展”，这个扩展中的内容可以任意填写，作为一个自定义的数据结构。

这样就可以把真实设备的指针保存在设备对象里了，就没有必要做两个数组去对应起来，每次都要找一番。

在键盘过滤中，作者专门定义了一个结构作为设备扩展如下：

typedef struct _C2P_DEV_EXT
{
// 这个结构的大小
ULONG NodeSize;
// 过滤设备对象
PDEVICE_OBJECT pFilterDeviceObject;
// 同时调用时的保护锁
KSPIN_LOCK IoRequestsSpinLock;
// 进程间同步处理
KEVENT IoInProgressEvent;
// 绑定的设备对象
PDEVICE_OBJECT TargetDeviceObject;
// 绑定前底层设备对象（真实设备）
PDEVICE_OBJECT LowerDeviceObject;
} C2P_DEV_EXT, *PC2P_DEV_EXT;

要生成一个带有设备扩展信息的设备对象，关键是在调用IoCreateDevice时，注意第二个参数填入扩展的长度。比如前面的例子中生成过滤设备时，所用的代码是：

status = IoCreateDevice(
IN DriverObject,
IN sizeof(C2P_DEV_EXT), //扩展的长度
IN NULL,
IN pTargetDeviceObject->DeviceType,
IN pTargetDeviceObject->Characteristics,
IN FALSE,
OUT &pFilterDeviceObject
);

扩展域的填写函数如下：

NTSTATUS
c2pDevExtInit(
    IN PC2P_DEV_EXT devExt,
    IN PDEVICE_OBJECT pFilterDeviceObject,
    IN PDEVICE_OBJECT pTargetDeviceObject,
    IN PDEVICE_OBJECT pLowerDeviceObject )
{
    memset(devExt, 0, sizeof(C2P_DEV_EXT));
    devExt->NodeSize = sizeof(C2P_DEV_EXT);
    devExt->pFilterDeviceObject = pFilterDeviceObject;
    KeInitializeSpinLock(&(devExt->IoRequestsSpinLock));
    KeInitializeEvent(&(devExt->IoInProgressEvent), NotificationEvent,     FALSE);
    devExt->TargetDeviceObject = pTargetDeviceObject;
    devExt->LowerDeviceObject = pLowerDeviceObject;
    return( STATUS_SUCCESS );
}    

4.2.3 键盘过滤模块的DriverEntry
与串口的差别就是，这里需要关系键盘的移除。

NTSTATUS DriverEntry(
                     IN PDRIVER_OBJECT DriverObject,
                     IN PUNICODE_STRING RegistryPath
                     )
{
    ULONG i;
    NTSTATUS status;
    KdPrint (("c2p.SYS: entering DriverEntry\n")); 

    // 填写所有的分发函数的指针
    for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
    {
        DriverObject->MajorFunction[i] = c2pDispatchGeneral;
    } 

    // 单独的填写一个Read分发函数。因为要的过滤就是读取来的按键信息
    // 其他的都不重要。这个分发函数单独写。
    DriverObject->MajorFunction[IRP_MJ_READ] = c2pDispatchRead; 

    // 单独的填写一个IRP_MJ_POWER函数。这是因为这类请求中间要调用
    // 一个PoCallDriver和一个PoStartNextPowerIrp，比较特殊。
    DriverObject->MajorFunction [IRP_MJ_POWER] = c2pPower; 

    // 我们想知道什么时候一个我们绑定过的设备被卸载了（比如从机器上
    // 被拔掉了？）所以专门写一个PNP（即插即用）分发函数
    DriverObject->MajorFunction [IRP_MJ_PNP] = c2pPnP; 

    // 卸载函数。
    DriverObject->DriverUnload = c2pUnload;
    gDriverObject = DriverObject;
    // 绑定所有键盘设备
    status =c2pAttachDevices(DriverObject, RegistryPath);

    return status;
}

4.2.4 键盘过滤模块的动态卸载

与串口过滤稍有不同的是，键盘总是处于“有一个读请求没有完成”的状态。
键盘上有键被按下——》触发中断——》键盘驱动从端口读取扫描码——》从键盘得到的数据交给IRP-——》结束这个IRP——》导致win32k!RawInputThread线程对这个读操作的等待结束——》处理数据，处理完成后——》调用nt!ZwReadFile，开始新的等待。

防止未决请求没有完成的方法就是使用gC2pKeyCount。gC2pKeyCount在这里是一个全局变量，每次有一个读请求到来的时候，gC2pKeyCount被加1；每次完成时，则减1。于是只有所有请求都完成后，才结束等待；否则无休止的等待下去。

实际上，只有一个键被按下时，这个卸载过程才结束。gC2pKeyCount的运算在下面的4.3节“键盘过滤的请求处理”中会看到。

#define  DELAY_ONE_MICROSECOND  (-10)
#define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)

VOID
c2pUnload(IN PDRIVER_OBJECT DriverObject)
{
    PDEVICE_OBJECT DeviceObject;
    PDEVICE_OBJECT OldDeviceObject;
    PC2P_DEV_EXT devExt; 

    LARGE_INTEGER    lDelay;
    PRKTHREAD CurrentThread;
    //delay some time
    lDelay = RtlConvertLongToLargeInteger(100 * DELAY_ONE_MILLISECOND);
    CurrentThread = KeGetCurrentThread();
    // 把当前线程设置为低实时模式，以便让它的运行尽量少影响其他程序。
    KeSetPriorityThread(CurrentThread, LOW_REALTIME_PRIORITY);

    UNREFERENCED_PARAMETER(DriverObject);
    KdPrint(("DriverEntry unLoading...\n")); 

    // 遍历所有设备并一律解除绑定
    DeviceObject = DriverObject->DeviceObject;
    while (DeviceObject)
    {
        // 解除绑定并删除所有的设备
        c2pDetach(DeviceObject);
        DeviceObject = DeviceObject->NextDevice;
    }
    ASSERT(NULL == DriverObject->DeviceObject);

    while (gC2pKeyCount)
    {
        KeDelayExecutionThread(KernelMode, FALSE, &lDelay);
    }
    KdPrint(("DriverEntry unLoad OK!\n"));
    return;
}