利用SMM技术实现PS/2键盘嗅探

"这篇文档详细介绍了键盘记录技术，特别是通过系统管理模式（SMM）来实现PS/2键盘嗅探的方法。作者Chul-woong Lee探讨了SMM的概念、系统管理中断(#SMI)的工作原理，以及这种方法与现有键盘嗅探技术的比较。文档还讨论了这种方法的局限性，并提供了相关参考文献。" 1. 引言 文档提到在2004年，Loic duflot发布了一个利用系统管理模式绕过OpenBSD保护机制的exploit，而2008年的Blackhat大会再次关注这个主题，讨论了如何在Windows环境下通过SMM嗅探PS/2键盘，并利用TFTP协议将数据发送给黑客。该文档旨在探讨这种攻击的可能性及其实现的威力。 2. 什么是系统管理模式？ 系统管理模式是处理器中的一个运行模式，自80386处理器以来就被使用。它像实模式或保护模式一样，作为一个独立的模式运行，允许在操作系统之外执行特殊任务，如硬件监控和低级别的系统管理功能。 3. 系统管理中断(#SMI) 系统管理中断是一种特殊的中断类型，当接收到此中断时，处理器会从当前正在执行的任务切换到系统管理模式，使得在此模式下可以执行非用户级的、对硬件有直接访问权限的操作，如键盘数据的捕获。 4. 实现PS/2键盘嗅探 文档阐述了如何利用SMM来实现键盘记录，即在操作系统不知情的情况下监听PS/2键盘输入。通过在SMM中设置中断处理程序，可以捕获并存储键盘事件，而不被操作系统检测到，从而实现隐蔽的数据记录。 5. 与现有键盘嗅探方法的比较 作者对比了通过SMM进行键盘嗅探与其他方法的差异，可能包括软件层面的键盘钩子、硬件级别的键盘中断处理等，强调了SMM方法的隐蔽性和难以检测性。 6. 局限性 尽管SMM键盘嗅探具有高隐蔽性，但也有其限制，比如可能受到硬件限制、需要处理器支持SMM、以及可能需要复杂的硬件交互和固件修改，这些都增加了实施难度。 7. 结语 文档结尾部分总结了研究结果，讨论了这种技术可能带来的安全威胁，并提醒读者关注相关的防护措施。 8. 参考文献 作者提供了一些参考资源，以便读者深入研究SMM和键盘嗅探技术的相关背景和细节。 这篇文档深入剖析了利用系统管理模式进行键盘记录的技术，对于理解这种高级别的恶意活动和提高网络安全意识具有重要意义。