;@echo  off
;goto  make
;功能:驱动实现模拟键盘按键
;说明:模拟键盘按键就需要访问IO端口 但是系统默认是不允许访问的，所以我们利用驱动修改TSS中的IOPM(IO许可位图),允许我们的主程序访问IO端口(直接用in、out访问).
;by: 看雪--ericzw  QQ--巴丫丫 37261550
    .586
    .model  flat,stdcall
    option  casemap:none
include  \masm32\include\w2k\ntddk.inc;驱动开发必备的头文件
include  \masm32\include\w2k\ntstatus.inc;一些状态标识符
include  \masm32\include\w2k\ntoskrnl.inc;将用到ntoskrnl很多未公开的函数
includelib  \masm32\lib\w2k\ntoskrnl.lib
include  \masm32\macros\strings.mac
;字符宏 声明字符串
$s MACRO txt:REQ
  local d,sn
  sn TEXTEQU @CurSeg
   .const
    d db txt,0
  @CurSeg ENDS
  sn SEGMENT
  EXITM <offset d>
ENDM
    .data
szUnicode  WORD   'P','r','o','c','e','s','s','I','d',0
szUs  UNICODE_STRING  <sizeof szUnicode,sizeof  szUnicode,offset szUnicode>;这2句可以使用$COUNTED_UNICODE_STRING('ProcessId',4)宏来代替 
    .code
;驱动程序入口函数 每次驱动加截都将调用此函数
DriverEntry  proc  _lpDeriverObject:PDRIVER_OBJECT,_lpRegisterString:PUNICODE_STRING;1参:当前驱动对象指针,由系统初始化这个驱动程序时分配的DRIVER_OBJECT结构 2参:指向定长的Unicode字符串，记录该驱动在注册表中的键路径
  local  @oa:OBJECT_ATTRIBUTES
  local  @hKey;注册表句柄
  local  @kvpi:KEY_VALUE_PARTIAL_INFORMATION
  local  @lp;分配的虚拟内存指针
  local  @kProcess:PVOID;KPROCESS对象指针
  ;int  3;需要调试此驱动的时候 把注释去掉，在softice里面开启捕捉int 3指令(使用“I3Here on“即可)
  
  ;初始化OBJECT_ATTRIBUTES供ZwOpenKey使用（使用这几个注册表函数就是为了得到调用程序的进程ID 我们保存在注册表里面)
  lea  esi,@oa
  assume  esi:ptr OBJECT_ATTRIBUTES
  mov  [esi]._Length,sizeof OBJECT_ATTRIBUTES;结构大小 结构字段原来是Length,但汇编Length是保留字，所以定义的时候在它前面加了'_'符号
  mov  [esi].RootDirectory,NULL;根目录路径 为NULL则结构的ObjectName必须指向一个完整路径对象名称 不为NULL则ObjectName指定对象名称即可
  push  _lpRegisterString;驱动在注册表中的键路径
  pop  [esi].ObjectName;指向Unicode字符串 指示对象是由哪个句柄打开
  mov  [esi].Attributes,NULL;属性
  mov  [esi].SecurityDescriptor,NULL;指示对象安全描述 为NULL则为默认设置
  mov  [esi].SecurityQualityOfService,NULL;一般为NULL
  assume  esi:nothing
  invoke  ZwOpenKey,addr @hKey,KEY_READ,esi;打开现有注册表 参1:函数在此返回取得的注册表句柄 参2:操作权限 参3:指向已初始化的OBJECT_ATTRIBUTES
  .if  eax==STATUS_SUCCESS
    push  eax
    invoke  ZwQueryValueKey,@hKey,addr szUs,KeyValuePartialInformation,addr @kvpi,sizeof @kvpi,esp;取注册表中的键值 参1:打开的句柄 参2:定长的UNICODE_STRING字符串注册表中键的名字 参3:需要取得注册表键的值使用KeyValuePartialInformation 参4:指针指向结构KEY_VALUE_PARTIAL_INFORMATON(最终取得的值返回在结构中字段Data里面) 参5:结构大小 参6:在此返回取得的数据大小
    pop  ecx
    .if  eax==STATUS_SUCCESS && ecx!=0;函数成功 同时取得的数据不为0(ecx就是上个函数堆栈上的值pop弹出的)
      invoke  MmAllocateNonCachedMemory,8192;我们总共有8192个许可位图 所以分配1个不被cache的虚拟内存
      .if  eax
        mov  @lp,eax
        lea  ecx,@kvpi
        invoke  PsLookupProcessByProcessId,DWORD ptr (KEY_VALUE_PARTIAL_INFORMATION PTR [ecx]).Data,addr @kProcess;利用进程ID取得进程对象  参1:进程id 参2:在此处返回取得的进程对象  使用此函数会使进程对象的引用计数加1
        .if  eax==STATUS_SUCCESS
          invoke  Ke386QueryIoAccessMap,1,@lp;从TSS中取得许可位图 参1:为0将所有位置1 为1普通的拷贝  参2:虚拟内存指针 许可位图的数据返回到此指针指向的虚拟内存
          .if  al;成功al非0
            ;把60 64端口都置位 注:由于IO许可位图使用的是bit位 我们正常表示都是字节 所以他们需要除8
            mov  esi,@lp
            add  esi,60h / 8 
            mov  eax,[esi]
            btr  eax, 60h mod 8;btr把指定的位清0 也就是把60h端口位设置成0 允许访问60h端口
            mov  [esi],eax
            
            mov  esi,@lp
            add  esi,64h / 8
            mov  eax,[esi]
            btr  eax,64h mod 8
            mov  [esi],eax
            invoke  Ke386SetIoAccessMap,1,@lp;拷贝新的IOPM(IO许可位图)到TSS中 参1:必须为1 参2:指向不低于2000h的虚拟内存
            .if  al;成功al非0
              invoke  Ke386IoSetAccessProcess,@kProcess,1;上面的数据拷贝进TSS后 必须使TSS中的偏移定位到新的IOPM  参1:KPROCESS进程对象  参2:为0表示禁址对I/O端口进行存取将IOPM的偏移指到TSS段外面 为1表示允许存取I/O端口
              .if  al;成功al非0
                invoke  DbgPrint,$s('driver ok...')
              .endif
            .endif
          .endif
          invoke  ObDereferenceObject,@kProcess;将对象引用计数减1
        .endif
        invoke  MmFreeNonCachedMemory,@lp,8192;释放内存
      .endif
      invoke  ZwClose,@hKey;释放句柄
    .endif
  .endif
  mov  eax,STATUS_DEVICE_CONFIGURATION_ERROR;入口函数返回值,这里将使系统返回设备配置错误,系统将直接把驱动从内存中清除
  ret
DriverEntry  endp
end    DriverEntry

:make

set drv=myDriver

\masm32\bin\ml /nologo /c /coff %drv%.bat
\masm32\bin\link /nologo /driver /base:0x10000 /align:32 /out:%drv%.sys /subsystem:native %drv%.obj

del %drv%.obj

echo.
pause

;@echo  off
;goto  make
;功能:驱动实现模拟键盘按键
;说明:模拟键盘按键就需要访问IO端口 但是系统默认是不允许访问的，所以我们利用驱动修改TSS中的IOPM(IO许可位图),允许我们的主程序访问IO端口(直接用in、out访问).
;by: 看雪--ericzw  QQ--巴丫丫 37261550
    .586
    .model  flat,stdcall
    option  casemap:none
include  \masm32\include\windows.inc
include  \masm32\include\user32.inc
include  \masm32\include\kernel32.inc
includelib  \masm32\lib\user32.lib
includelib  \masm32\lib\kernel32.lib

include  \masm32\include\advapi32.inc;操作注册表使用
includelib  \masm32\lib\advapi32.lib
;字符宏 声明字符串
$s MACRO txt:REQ
  local d,sn
  sn TEXTEQU @CurSeg
   .const
    d db txt,0
  @CurSeg ENDS
  sn SEGMENT
  EXITM <offset d>
ENDM
    .data
hScm  dword  ?;SCM句柄
hService  dword  ?;服务句柄
szFullName  byte  MAX_PATH  DUP  (?);驱动全路径
hKey  dword  ?;注册表句柄
dwProcessId  dword  ?;当前进程ID
szProcessId  byte  'ProcessId',0
f_flag  dword  0;标志 成功启动了驱动程序后为非0 
    .code
;访问端口实现模拟键盘按键 
SetKey    proc    _Lparamkey;
        @Lp1:;无论向0x60,还是0x64写东西前都要等状态寄存器OBF变0
        in    al,64h
        and  al,10b
        jnz  @Lp1
        ;向$64端口写命令
        mov  al,0D2h;写键盘输出缓存命令
        out  64h,al
        
        @Lp2:;无论向0x60,还是0x64写东西前都要等状态寄存器OBF变0
        in    al,64h
        and   al,10b
        jnz  @Lp2
        ;向$60端口写参数
        mov  ebx,_Lparamkey
        mov  al,bl
        out  60h,al
        ret
SetKey    endp
;程序入口
Start  proc
  invoke  OpenSCManager,NULL,NULL,SC_MANAGER_ALL_ACCESS;建立到SCM的连接
  .if  eax
    mov  hScm,eax
    push  eax
    invoke  GetFullPathName,$s('myDriver.sys'),MAX_PATH,addr szFullName,esp;取得当前文件夹下的驱动完整路径
    pop  eax
    invoke  CreateService,hScm,$s('myDriverReg'),$s('myDriverNameReg'),SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,\
        SERVICE_DEMAND_START,SERVICE_ERROR_IGNORE,addr szFullName,NULL,NULL,NULL,NULL,NULL;将驱动添加到服务数据库中并创建对应的注册表键
    .if  eax
      mov  hService,eax
      invoke  RegOpenKeyEx,HKEY_LOCAL_MACHINE,$s("SYSTEM\\CurrentControlSet\\Services\\myDriverReg"),0,KEY_ALL_ACCESS,addr hKey;打开注册表 注意:每次把驱动添加到服务数据中时,程序会同时在注册表"SYSTEM\\CurrentControlSet\\Services\\"下面创建一个以CreateService第二个参数为键名的新项.
      ;我们本次的工作就是往上面的注册表路径下面添加一个新的名为"ProcessId"的键值，里面的数据是当前进程的进程ID，供我们的驱动读取,来实现我们的操作。
      .if  eax==ERROR_SUCCESS
        invoke  GetCurrentProcessId;取得当前进程ID
        mov  dwProcessId,eax
        invoke  RegSetValueEx,hKey,addr szProcessId,NULL,REG_DWORD,addr dwProcessId,sizeof DWORD;向注册表中写入键值 写入我们的进程ID
        .if  eax==ERROR_SUCCESS
          invoke  StartService,hService,NULL,NULL;启动驱动程序,这个函数运行后直到驱动程序入口函数运行完后才返回
          inc  f_flag;设置为非0 下面将访问端口
          invoke  RegDeleteKey,hKey,addr szProcessId;清除我们刚才清加的进程ID项 (可有可无 运行DeleteService后整个驱动键都会被清除
        .else
          invoke  MessageBox,NULL,$s('写入进程ID失败'),NULL,MB_OK  
        .endif
        invoke  RegCloseKey,hKey;释放句柄
      .else
        invoke  MessageBox,NULL,$s('打开注册表失败'),NULL,MB_OK  
      .endif
      invoke  DeleteService,hService;将驱动从SCM数据库中删除 严格的说这个函数并不真正将服务删除，它将服务做了一个删除标志，只有服务已经停止，并且服务句柄被关闭后SCM才真正将服务删除    
      invoke  CloseServiceHandle,hService;关闭句柄
    .else
      invoke  MessageBox,NULL,$s('添加驱动到服务数据库失败'),NULL,MB_OK
    .endif
    invoke  CloseServiceHandle,hScm;关闭句柄
  .else
    invoke  MessageBox,NULL,$s('打开scm失败'),NULL,MB_OK
  .endif
  ;如果驱动正常加载,则我们连续按5次'A'键
  .if  f_flag
    invoke  MessageBox,NULL,$s("安装驱动成功,点击'确定'将模拟键盘按5次'A'键"),$s("成功"),MB_OK
    mov  ecx,5
    @@:  
    push  ecx
    invoke  MapVirtualKey,VK_A,0;把A键的虚拟键码翻译为扫描码
    invoke  SetKey,eax;访问IO实现模拟键盘按A键
    invoke  Sleep,1000
    pop  ecx
    loop  @B 
  .endif
  invoke  ExitProcess,-1
  ret
Start  endp
end  Start
:make
set  exe=StartD
\masm32\bin\ml /nologo /c /coff %exe%.bat
\masm32\bin\link /nologo /subsystem:windows %exe%.obj
del  %exe%.obj
echo.
pause