0

我在这里没有想法了。我有一段改编自http://thetechnofreak.com/technofreak/keylogger-visual-c/的代码,用于将键码转换为 unicode 字符。它在所有情况下都可以正常工作,除非您尝试从 64 位 Windows 运行 32 位版本。出于某种原因,pKbd->pVkToWcharTable 一直返回 NULL。我已经尝试过 __ptr64 以及为 kbd dll 路径明确指定 SysWOW64 和 System32。我在互联网上找到了几个提到这个确切或非常相似的问题的项目,但我似乎无法让任何解决方案起作用(参见:KbdLayerDescriptor 在 64 位架构中返回 NULL) 以下是我在 Windows XP (gcc -std=c99 Wow64Test.c) 上使用 mingw-32 编译然后在 Windows 7 64 位上执行的测试代码。在 Windows XP 上,我得到了一个有效的指针,但是在 Windows 7 上,我得到了 NULL。

***更新:所以看起来我遇到的问题是由于 mingw 没有正确实现 __ptr64 因为 sizeof 操作给出了 4 个字节而不是 Visual Studio 给出的 8 个字节。所以真正的解决方案是想办法使 KBD_LONG_POINTER 的大小动态或至少为 64 位,但我不确定这是否可能。有任何想法吗?

#include <windows.h>
#include <stdio.h>

#define KBD_LONG_POINTER __ptr64
//#define KBD_LONG_POINTER

typedef struct {
    BYTE Vk;
    BYTE ModBits;
} VK_TO_BIT, *KBD_LONG_POINTER PVK_TO_BIT;

typedef struct {
    PVK_TO_BIT pVkToBit;
    WORD wMaxModBits;
    BYTE ModNumber[];
} MODIFIERS, *KBD_LONG_POINTER PMODIFIERS;

typedef struct _VK_TO_WCHARS1 {
    BYTE VirtualKey;
    BYTE Attributes;
    WCHAR wch[1];
} VK_TO_WCHARS1, *KBD_LONG_POINTER PVK_TO_WCHARS1;

typedef struct _VK_TO_WCHAR_TABLE {
    PVK_TO_WCHARS1 pVkToWchars;
    BYTE nModifications;
    BYTE cbSize;
} VK_TO_WCHAR_TABLE, *KBD_LONG_POINTER PVK_TO_WCHAR_TABLE;

typedef struct {
    DWORD dwBoth;
    WCHAR wchComposed;
    USHORT uFlags;
} DEADKEY, *KBD_LONG_POINTER PDEADKEY;

typedef struct {
    BYTE vsc;
    WCHAR *KBD_LONG_POINTER pwsz;
} VSC_LPWSTR, *KBD_LONG_POINTER PVSC_LPWSTR;

typedef struct _VSC_VK {
    BYTE Vsc;
    USHORT Vk;
} VSC_VK, *KBD_LONG_POINTER PVSC_VK;

typedef struct _LIGATURE1 {
    BYTE VirtualKey;
    WORD ModificationNumber;
    WCHAR wch[1];
} LIGATURE1, *KBD_LONG_POINTER PLIGATURE1;

typedef struct tagKbdLayer {
    PMODIFIERS pCharModifiers;
    PVK_TO_WCHAR_TABLE pVkToWcharTable;
    PDEADKEY pDeadKey;
    PVSC_LPWSTR pKeyNames;
    PVSC_LPWSTR pKeyNamesExt;
    WCHAR *KBD_LONG_POINTER *KBD_LONG_POINTER pKeyNamesDead;
    USHORT *KBD_LONG_POINTER pusVSCtoVK;
    BYTE bMaxVSCtoVK;
    PVSC_VK pVSCtoVK_E0;
    PVSC_VK pVSCtoVK_E1;
    DWORD fLocaleFlags;
    BYTE nLgMax;
    BYTE cbLgEntry;
    PLIGATURE1 pLigature;
    DWORD dwType;
    DWORD dwSubType;
} KBDTABLES, *KBD_LONG_POINTER PKBDTABLES;


typedef PKBDTABLES(CALLBACK *KbdLayerDescriptor) (VOID);

int main() {
    PKBDTABLES pKbd;
    HINSTANCE kbdLibrary = NULL;

    //"C:\\WINDOWS\\SysWOW64\\KBDUS.DLL"
    //"C:\\WINDOWS\\System32\\KBDUS.DLL"
    kbdLibrary = LoadLibrary("C:\\WINDOWS\\SysWOW64\\KBDUS.DLL");

    KbdLayerDescriptor pKbdLayerDescriptor = (KbdLayerDescriptor) GetProcAddress(kbdLibrary, "KbdLayerDescriptor");

    if(pKbdLayerDescriptor != NULL) {
        pKbd = pKbdLayerDescriptor();

        printf("Is Null? %d 0x%X\n", sizeof(pKbd->pVkToWcharTable), pKbd->pVkToWcharTable);
    }

    FreeLibrary(kbdLibrary);
    kbdLibrary = NULL;
}
4

1 回答 1

3

对您来说可能为时已晚,但对于遇到相同问题的人来说,这里有一个解决方案。此演示和不完整的解释有帮助,但仅适用于 Visual Studio: http: //www.codeproject.com/Articles/439275/Loading-keyboard-layout-KbdLayerDescriptor-in-32-6

结构中的指针kbd.h都有KBD_LONG_POINTER宏,*__ptr64*在 64 位操作系统上定义。在 Visual Studio 中,这使得指针占用 8 个字节,而不是通常的 4 个 32 位程序。不幸的是,在 MinGW 中,*__ptr64*被定义为不做任何事情。

如链接解释中所述,该KbdLayerDescriptor函数在 32 位和 64 位 Windows 上返回的指针不同。指针的大小似乎取决于操作系统而不是正在运行的程序。实际上,对于 32 位程序,在 64 位操作系统上指针仍然是 4 字节,但在 VS 中,__ptr64关键字在于它们不是。

例如,一些结构如下所示kbd.h

typedef struct {
    BYTE Vk;
    BYTE ModBits;
} VK_TO_BIT, *KBD_LONG_POINTER PVK_TO_BIT;

typedef struct {
    PVK_TO_BIT pVkToBit;
    WORD wMaxModBits;
    BYTE ModNumber[];
} MODIFIERS, *KBD_LONG_POINTER PMODIFIERS;

对于 64 位 Windows 上的 32 位程序,这在 MinGW 和 VS 中都不起作用。因为没有. pVkToBit_ 解决方案是忘记(您甚至可以将它们全部删除)并定义类似于上述的结构。IE :MODIFIERS__ptr64KBD_LONG_POINTER

struct VK_TO_BIT64
{
    BYTE Vk;
    BYTE ModBits;
};

struct MODIFIERS64
{
    VK_TO_BIT64 *pVkToBit;
    int _align1;
    WORD wMaxModBits;
    BYTE ModNumber[];
};

(您可以使用VK_TO_BIT而不是定义自己的VK_TO_BIT64,因为它们是相同的,但是有单独的定义有助于理解发生了什么。)

该成员pVkToBit仍然占用 4 个字节,但KbdLayerDescriptor在 64 位操作系统上填充指向 8 个字节的指针,因此我们必须插入一些填充 ( int _align1)。

您必须对 中的其他结构做同样的事情kbd.h。例如,这将替换KBDTABLES

struct WCHARARRAY64
{
    WCHAR *str;
    int _align1;
};

struct KBDTABLES64
{
    MODIFIERS64 *pCharModifiers;
    int _align1;
    VK_TO_WCHAR_TABLE64 *pVkToWcharTable;
    int _align2;
    DEADKEY64 *pDeadKey;
    int _align3;
    VSC_LPWSTR64 *pKeyNames;
    int _align4;
    VSC_LPWSTR64 *pKeyNamesExt;
    int _align5;
    WCHARARRAY64 *pKeyNamesDead;
    int _align6;
    USHORT *pusVSCtoVK;
    int _align7;
    BYTE bMaxVSCtoVK;
    int _align8;
    VSC_VK64 *pVSCtoVK_E0;
    int _align9;
    VSC_VK64 *pVSCtoVK_E1;
    int _align10;
    DWORD fLocaleFlags;
    byte nLgMax;
    byte cbLgEntry;
    LIGATURE64_1 *pLigature;
    int _align11;
    DWORD dwType;
    DWORD dwSubType;
};

(请注意,该_align8成员不在指针之后。)

要使用这一切,您必须检查您是否在 64 位 Windows 上运行:http: //msdn.microsoft.com/en-us/library/ms684139%28v=vs.85%29.aspx

如果不是,请使用 中的原始结构kbd.h,因为指针行为正确。它们占用 4 个字节。如果程序在 64 位操作系统上运行,请使用您创建的结构。您可以通过以下方式实现它:

typedef __int64 (CALLBACK *LayerDescriptor64)(); // Result should be cast to KBDTABLES64.
typedef PKBDTABLES (CALLBACK *LayerDescriptor)(); // This is used on 32 bit OS.

static PKBDTABLES kbdtables = NULL;
static KBDTABLES64 *kbdtables64 = NULL;

在一些初始化函数中:

if (WindowsIs64Bit()) // Your function that checks the OS version.
{
    LayerDescriptor64 KbdLayerDescriptor = (LayerDescriptor64)GetProcAddress(kbdLibrary, "KbdLayerDescriptor");
    if (KbdLayerDescriptor != NULL)
        kbdtables64 = (KBDTABLES64*)KbdLayerDescriptor();
    else
        kbdtables64 = NULL;
}
else
{
    LayerDescriptor KbdLayerDescriptor = (LayerDescriptor)GetProcAddress(kbdLibrary, "KbdLayerDescriptor");
    if (KbdLayerDescriptor != NULL)
        kbdtables = KbdLayerDescriptor();
    else
        kbdtables = NULL;
}

该解决方案根本不使用__ptr64,并且在 VS 和 MinGW 中都可以使用。你需要注意的事情是:

  1. 结构应在 8 字节边界上对齐。(这是当前 VS 或 MinGW 中的默认设置,至少对于 C++ 而言。)
  2. 不要定义KBD_LONG_POINTERto__ptr64或从任何地方删除它。尽管最好不要更改 kbd.h。
  3. 了解结构成员对齐的工作原理。(我已将其编译为 C++ 而不是 C。我不确定 C 的对齐规则是否会有所不同。)
  4. 根据操作系统使用正确的变量(或kbdtables或)。kbdtables64
  5. 编译 64 位程序时显然不需要此解决方案。
于 2013-05-19T13:18:26.220 回答