如何在最新版本的Windows操作系统中从内核驱动程序或DMA设备获取keystate
Windows 10: 基于导出的访问在Windows 10系统中,这种方法相对简单:
目标:在win32kbase.sys中导出gafAsyncKeyState
方法:直接使用模块的导出表解析导出
---------
Windows 11 23H2及更早版本
(Windows 11消除了gafAsyncKeyState导出)
目标模块:WIN32KSGD.SYS
方法:使用模式48 8B 05 ? ? ? ? 48 8B 04 C8的签名扫描
备用偏移:0x36a8
keystate偏移:在会话结构中的0x36a8
--------
Windows 11 24H2及以后版本
目标模块:win32k.sys
方法:使用模式 48 8B 05 进行签名扫描 ? ? ? ? FF C9
备用偏移量:0x824F0
密钥状态偏移量:会话结构中的 0x3808
撒大苏打阿斯顿阿斯顿 来瞧瞧的,呵呵 顶起很好的帖 这就是传说中的好资源吗?赶紧看看去!
页:
[1]