高分求教驱动问题（如牵涉到技术核心可以有偿付款）

cbl_rfid

高分求教驱动问题（如牵涉到技术核心可以有偿付款） [复制链接]

大家好，我最近在帮一个朋友写一鼠标过滤驱动，需要拦截鼠标的按键，以及按下按键时候的鼠标坐标。这样才可以把鼠标的所有动作给回放出来。
现在碰到的问题是，如何在不需要应用程序作为辅助的情况下面，直接在驱动程序中就得到鼠标的坐标。（现在我已经有成熟的方案以应用程序的函数GetCursorPos取得的数值然后传入驱动中的，但当快速移动鼠标的时候所取得的数值有一定的误差）
本人昨天反汇编跟踪过微软的库函数：GetCursorPos，发现后来这个函数还是转入的Ring0层，调用了win32k.sys中的一个函数完成了赋值。其实这个赋值仅仅是把win32k.sys中的一个全局变量给赋值出来而已。所以在如果知道这些信息的情况下，有无办法在驱动中也调用win32k.sys中的那个函数并得到坐标？
本贴将感谢技术牛人的回答，如果牵涉到技术问题，本人愿意有偿付款100-500RMB作为回报！

HOUZENGZHAO

这种需求通常可以完全用应用程序来实现，做一个DLL，用SetWindowsHookEx设置一个全局的WH_KEYBOARD_LL钩子即可。

ladeng

设置钩子函数自然有它的有点和缺点，现在目前的需求是必须要在驱动级下实现，有什么好办法呢？

twpma

帮顶.

wujiangong

没做过这方面的驱动，不过可以确定的是，只要知道函数的地址，驱动之间是可以直接相互调用的。

czylwj

引用 4 楼 cnzdgs 的回复:
没做过这方面的驱动，不过可以确定的是，只要知道函数的地址，驱动之间是可以直接相互调用的。

你说的有道理，这里我也考虑过可以直接得到这段内存的物理地址，但是担心这种方法可能不是很痛用，如果采用微软的一个接口可以动态取得某个函数的地址，那么就很肯定可以直接调用这个函数了！
我按照这种思路尝试一下先，谢谢！

hanbin

直接用地址值是不安全的，最好在程序中通过某种方法来获取，你可以跟踪GetCursorPos函数，看它是如何获取地址的，一般应该是调用系统内核的某个服务，也可能是通过DeviceIoControl，或者是构造一个Irp发给驱动。

冰山一角

ding

zj_luckybird

引用 6 楼 cnzdgs 的回复:
直接用地址值是不安全的，最好在程序中通过某种方法来获取，你可以跟踪GetCursorPos函数，看它是如何获取地址的，一般应该是调用系统内核的某个服务，也可能是通过DeviceIoControl，或者是构造一个Irp发给驱动。

直接用地址值是不安全的，最好在程序中通过某种方法来获取，
==>
是的，直接引用地址不安全，不过好像微软有一个库函数可以取得某个系统函数的地址。（某些内核的钩子就是这样完成的），所以尝试用这个办法看看。

你可以跟踪GetCursorPos函数，看它是如何获取地址的，
==》
这个已经跟踪过，最后发现GetCursorPos是Win32k.sys运行后的一个全局变量的赋值。后来还实时跟踪了一下这个全局变量的地址，确实如此。当鼠标移动的时候，就自动更新了这个全局变量的值。

一般应该是调用系统内核的某个服务，也可能是通过DeviceIoControl，或者是构造一个Irp发给驱动。
==>
好的，谢谢您的思路，我会按照这个思路去尝试的!

yue009

uping