觅风论坛

标题: 如何在最新版本的Windows操作系统中从内核驱动程序或DMA设备获取keystate [打印本页]

作者: MatthewAsync 时间: 昨天 09:20
标题: 如何在最新版本的Windows操作系统中从内核驱动程序或DMA设备获取keystate
Windows 10: 基于导出的访问
在Windows 10系统中，这种方法相对简单：

目标：在win32kbase.sys中导出gafAsyncKeyState
方法：直接使用模块的导出表解析导出

---------

Windows 11 23H2及更早版本
（Windows 11消除了gafAsyncKeyState导出）

目标模块：WIN32KSGD.SYS
方法：使用模式48 8B 05 ? ? ? ? 48 8B 04 C8的签名扫描
备用偏移：0x36a8
keystate偏移：在会话结构中的0x36a8

--------

Windows 11 24H2及以后版本

目标模块：win32k.sys
方法：使用模式 48 8B 05 进行签名扫描 ? ? ? ? FF C9
备用偏移量：0x824F0
密钥状态偏移量：会话结构中的 0x3808

欢迎光临觅风论坛 (https://www.eyyba.com/)