觅风论坛

标题: 如何在最新版本的Windows操作系统中从内核驱动程序或DMA设备获取keystate [打印本页]

作者: MatthewAsync 时间: 2026-3-2 09:20
标题: 如何在最新版本的Windows操作系统中从内核驱动程序或DMA设备获取keystate
Windows 10: 基于导出的访问
在Windows 10系统中，这种方法相对简单：

目标：在win32kbase.sys中导出gafAsyncKeyState
方法：直接使用模块的导出表解析导出

---------

Windows 11 23H2及更早版本
（Windows 11消除了gafAsyncKeyState导出）

目标模块：WIN32KSGD.SYS
方法：使用模式48 8B 05 ? ? ? ? 48 8B 04 C8的签名扫描
备用偏移：0x36a8
keystate偏移：在会话结构中的0x36a8

--------

Windows 11 24H2及以后版本

目标模块：win32k.sys
方法：使用模式 48 8B 05 进行签名扫描 ? ? ? ? FF C9
备用偏移量：0x824F0
密钥状态偏移量：会话结构中的 0x3808

作者: 天空欣欣天下 时间: 2026-3-4 00:15
撒大苏打阿斯顿阿斯顿

作者: 阿运 时间: 2026-3-4 15:54
来瞧瞧的，呵呵

作者: he827298796 时间: 2026-3-5 09:43
顶起很好的帖

作者: jackleos 时间: 2026-3-6 06:49
这就是传说中的好资源吗？赶紧看看去！

欢迎光临觅风论坛 (https://www.eyyba.com/)