本發明公開了一種基于Windows的防鍵盤記錄方法，其中，包括：對于內核態，在windows正常按鍵中斷之前，增加一中斷，在收到用戶按鍵信息后，進行中斷，對按鍵信息是否進行過按鍵信息轉換進行判斷，對于該按鍵信息為原始按鍵信息，執行按鍵信息轉換，并將轉換后的信息重新發送給IO端口，對于該按鍵信息為轉換后的按鍵信息，執行windows正常按鍵中斷；對于用戶態，根據按鍵映射關系進行反向轉換然后直接將按鍵信息提交給用戶進程。

技術領域

發明涉及計算機安全技術領域，特別涉及一種基于Windows的防鍵盤記錄方法。

背景技術

現有的Windows系統上鍵盤記錄技術多采用Hook(掛鉤)技術，從鉤子函數被調用運行的位置將鍵盤記錄技術分為兩大類，分別為用戶態Hook和內核態Hook。因為在Windows用戶態下，鍵盤按鍵是以Windows消息的形式進行傳遞，所以用戶態Hook主要通過Windows消息鉤子函數實現鍵盤記錄。而內核態Hook相對于用戶態Hook來說更加靈活，從按鍵產生鍵盤中斷開始一直到內核態完成IRP(IO請求包)返回用戶態需要經過多層調用，可以在此路徑的多處實現鍵盤記錄，主要包括以下方法：

修改系統服務描述表實現鍵盤記錄，即Hook系統服務描述表。

修改鍵盤設備棧，添加虛擬設備，IRP在設備棧逐層返回的途中被虛擬設備截獲。

修改鍵盤驅動的分發函數實現鍵盤記錄，即Hook驅動分發函數。

修改鍵盤中斷處理函數，即Hook中斷處理函數。

對于用戶態的鍵盤記錄器，可以同樣使用Windows消息鉤子函數來防御，主要是調用WH_DEBUG類型的鉤子函數，因為Windows操作系統總是先執行WH_DEBUG類型的鉤子函數，而這個鉤子函數可以直接決定是否繼續執行鍵盤的鉤子函數(用戶態鍵盤記錄以鍵盤鉤子函數的形式存在)，所以在用戶態防鍵盤記錄的方法就是在WH_DEBUG類型的鉤子函數中將按鍵信息直接提交給用戶進程，并阻斷鍵盤鉤子函數的運行，但是如果內核態的鍵盤記錄器，此方法不能阻止按鍵信息被竊取。

發明內容

本發明的目的在于提供一種基于Windows的防鍵盤記錄方法，用于解決上述現有技術的問題。

本發明的一種基于Windows的防鍵盤記錄方法，其中，包括：對于內核態，在windows正常按鍵中斷之前，增加一中斷，在收到用戶按鍵信息后，進行中斷，對按鍵信息是否進行過按鍵信息轉換進行判斷，對于該按鍵信息為原始按鍵信息，執行按鍵信息轉換，并將轉換后的信息重新發送給IO端口，對于該按鍵信息為轉換后的按鍵信息，執行windows正常按鍵中斷；對于用戶態，根據按鍵映射關系進行反向轉換然后直接將按鍵信息提交給用戶進程。

根據本發明的基于Windows的防鍵盤記錄方法，其中，如果IO端口第2n-1次中斷，則認為該按鍵信息為原始按鍵信息，執行按鍵信息轉換，并將轉換后的信息重新發送給IO端口，如IO端口第2n次中斷，則認為該按鍵信息為轉換后的按鍵信息，執行windows正常按鍵中斷。

根據本發明的基于Windows的防鍵盤記錄方法，其中，包括：在windows的中斷處理表中，不斷將增加的中斷更新到鍵盤中斷項中，使得增加的中斷始終處于windows中斷的優先級的前列。

根據本發明的基于Windows的防鍵盤記錄方法，其中，還包括：建立一鍵盤映射表，映射表中存儲鍵盤實際字符與轉換后的字符的映射關系。

本發明的基于Windows的防鍵盤記錄方法，能夠實現鍵盤的按鍵防護。

附圖說明

無

具體實施方式

為使本發明的目的、內容、和優點更加清楚，下面結合實施例，對本發明的具體實施方式作進一步詳細描述。