HID。DLL导出函数HidDGetInputReport探究

　　HidD_GetInputReport的功能
　　HidD_GetInputReport用于获取输入报告(input report)。
　　说明：
　　不过微软关于此函数有一个特别的说明，就是只能获取 当前的输入报告 ，不能连续地获取，因为可能会丢数据。所以如果要连续的获取输入报告，需要使用ReadFile函数。
　　同时，有些设备可能不支持HidD_GetInputReport，所以使用此函数时可能没有响应。
　　更多详见： https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/hidsdi/nf-hidsdi-hidd_getinputreport https://docs.microsoft.com/en-us/windows-hardware/drivers/hid/obtaining-hid-reports#obtaining-hid-reports-by-user-mode-applications HidD_GetInputReport应用层
　　HidD_GetInputReport函数在ReactOS中实现如下: HIDAPI BOOLEAN WINAPI HidD_GetInputReport(IN HANDLE HidDeviceObject,                     IN OUT PVOID ReportBuffer,                     IN ULONG ReportBufferLength) {   DWORD RetLen;   return DeviceIoControl(HidDeviceObject, IOCTL_HID_GET_INPUT_REPORT,                          NULL, 0,                          ReportBuffer, ReportBufferLength,                          &RetLen, NULL) != 0; }
　　源代码路径为： E:reactosReactOS-0.4.13-src-2020-0731ReactOS-0.4.13dllwin32hidhid.c
　　可以看到，该函数是通过IOCTL_HID_GET_INPUT_REPORT实现的。故我们需要在内核驱动hidclass驱动中查看内核实现。 HidD_GetInputReport内核层
　　在最新的ReactOS中，其实这个IOCTL并未实现。         case IOCTL_HID_GET_INPUT_REPORT:          {              DPRINT1(＂[HIDUSB] IOCTL_HID_GET_INPUT_REPORT not implemented  ＂);              ASSERT(FALSE);              Irp->IoStatus.Status = STATUS_NOT_IMPLEMENTED;              IoCompleteRequest(Irp, IO_NO_INCREMENT);              return STATUS_NOT_IMPLEMENTED;          }
　　不过，REACTOS未实现，并不代表windows未实现，只是因为reactos是不一个半成品工程。
　　所以既然已经知道，该函数是实现在hidclass.sys中，故需要一些特别的方法。
　　这里结合IDA来进行分析。
　　我们看过HidRegisterMinidriver的源代码，知道其对原hidusb驱动的的回调函数进行了HOOK,这样当应用层下发IOCTL_HID_GET_INPUT_REPORT后，会进入HIDCLASS设置的回调函数，其函数名为：HidpMajorHandler。 #define IRP_MJ_DEVICE_CONTROL           0x0e ...       v20->MajorFunction[14] = (int (__fastcall *)(_DEVICE_OBJECT *, _IRP *))HidpMajorHandler; ...
　　在其函数HidpMajorHandler内部继续跟踪       case 14:         v15 = HidpIrpMajorDeviceControl(v8, v4, -1073741824, a4);
　　所以HidpIrpMajorDeviceControl才是真实的IOCTL_HID_GET_INPUT_REPORT实现。
　　通过http://www.pnpon.com/import/ioctl.html 查询IOCTL_HID_GET_INPUT_REPORT的值为0xb01a2，故需要在HidpIrpMajorDeviceControl内部查找关于它的代码。
　　可以看到，代码为：             case 0xB0191u:  //IOCTL_HID_SET_FEATURE             case 0xB0192u:  //IOCTL_HID_GET_FEATURE             case 0xB0195u:  //IOCTL_HID_SET_OUTPUT_REPORT             case 0xB01A2u:  //IOCTL_HID_GET_INPUT_REPORT             case 0xB01A6u:  //               v12 = HidpGetSetReport(a1, v4, (unsigned int)v109[6], v108);               v105 = v12;
　　在这个函数中，会进行一些必要的判断，然后调用hidusb中.  v35 = HidpCallDriverSynchronous(*(_QWORD *)v8, v45);
　　所以看到，这还是进入了miniport设备中。
　　在hidusb中，其实就是下发IRP到总线驱动，然后获取输入报告内容。当然这里输入报告指针中的第一个字节是ReportID.
　　进入HIDUSB.SYS驱动后，其执行的是被HIDCLASS.SYS hook掉的ioctl对应的函数HumInternalIoctl。
　　在HumInternalIoctl中查找对应的IOCTL 0xB01A2u:   case 0xB0191u:  //IOCTL_HID_SET_FEATURE   case 0xB0192u:  //IOCTL_HID_GET_FEATURE   case 0xB0195u:  //IOCTL_HID_SET_OUTPUT_REPORT   case 0xB01A2u:  //IOCTL_HID_GET_INPUT_REPORT             v10 = HumGetSetReport((__int64)DeviceObject, v2, &v70);             if ( v10 >= 0 || (unsigned int)dword_1C0008010 <= 5 || !TlgKeywordOn(v58, v12) )               goto LABEL_22;             v82 = v10;             v108 = &v82;             v110 = (int *)&v83;             v83 = v11;             v109 = 4i64;             v111 = 4i64;             v49 = &v107;             break;
　　进入HumGetSetReport函数之后，我们手动解析一些结构体和反汇编之后的代码如下： NTSTATUS __fastcall HumGetSetReport(__int64 a1, IRP *a2, _BYTE *a3) {   _IO_STACK_LOCATION *v3; // r15   NTSTATUS result; // eax   int transferFlags; // edi   char request; // bp   __int16 value; // si   _HID_XFER_PACKET *v10; // r14   _URB *urb; // rax   _URB *urb2; // rbx   USHORT value2; // si   _IO_STACK_LOCATION *v14; // rax   __int64 v15; // [rsp+68h] [rbp+10h]    v3 = a2->Tail.Overlay.CurrentStackLocation;   switch ( v3->Parameters.Read.ByteOffset.LowPart )   {     case 0xB0191u:       value = 0x300;       goto LABEL_10;     case 0xB0192u:       transferFlags = 1;       request = 1;       value = 0x300;       goto LABEL_11;     case 0xB0195u:       value = 0x200; LABEL_10:       request = 9;       transferFlags = 0;       goto LABEL_11;   }   if ( v3->Parameters.Read.ByteOffset.LowPart != 0xB01A2 )     return 0xC00000BB;   transferFlags = 1;                            // USBD_TRANSFER_DIRECTION_IN   request = 1;   value = 0x100; LABEL_11:   v10 = (_HID_XFER_PACKET *)a2->UserBuffer;   v15 = *(_QWORD *)(*(_QWORD *)(a1 + 64) + 16i64);   if ( !v10 || !v10->reportBuffer || !v10->reportBufferLen )     return 0xC000003E;   urb = (_URB *)ExAllocatePoolWithTag((POOL_TYPE)0x200, 0x98ui64, 0x55646948u);   urb2 = urb;   if ( !urb )     return 0xC000009A;   memset(urb, 0, sizeof(_URB));   value2 = v10->reportId + value;               // +ReportId   if ( (*(_DWORD *)(v15 + 64) & 1) != 0 )       // DEVICE_FLAGS_HID_1_0_D3_COMPAT_DEVICE   {     *(_DWORD *)&urb2->UrbHeader.Length = 0x1C0088;// URB_FUNCTION_CLASS_ENDPOINT0x1c Length=0x0088     urb2->UrbSelectInterface.Index = 1;         // endpoint   }   else   {     *(_DWORD *)&urb2->UrbHeader.Length = 0x1B0088;// URB_FUNCTION_CLASS_INTERFACE=1c Length=0x0088     urb2->UrbSelectInterface.Index = *(unsigned __int8 *)(*(_QWORD *)(v15 + 16) + 2i64);// endpoint   }   urb2->UrbSelectInterface.RequestTypeReservedBits = 0x22;// requestType   urb2->UrbSelectInterface.Request = request;   urb2->UrbSelectInterface.Value = value2;   urb2->UrbSelectInterface.TransferFlags = transferFlags;   urb2->UrbSelectInterface.TransferBuffer = v10->reportBuffer;   urb2->UrbSelectInterface.TransferBufferLength = v10->reportBufferLen;   v14 = a2->Tail.Overlay.CurrentStackLocation;   v14[-1].CompletionRoutine = (PIO_COMPLETION_ROUTINE)&HumGetSetReportCompletion;   v14[-1].Context = urb2;   v14[-1].Control = 0xE0;   v3[-1].Parameters.WMI.ProviderId = (ULONG_PTR)urb2;   v3[-1].MajorFunction = v3->MajorFunction;   v3[-1].Parameters.Read.ByteOffset.LowPart = 0x220003;   v3[-1].DeviceObject = *(PDEVICE_OBJECT *)(*(_QWORD *)(a1 + 64) + 8i64);   if ( (int)HumIncrementPendingRequestCount(v15) < 0 )   {     ExFreePool(urb2);     result = 0xC000000E;   }   else   {     result = IofCallDriver(*(PDEVICE_OBJECT *)(*(_QWORD *)(a1 + 64) + 8i64), a2);     *a3 = 0;   }   return result; }
　　可以看到，这里使用了控制请求来进行数据读取的。 #define HumBuildClassRequest(urb,                                         function,                                         transferFlags,                                         transferBuffer,                                         transferBufferLength,                                         requestType,                                         request,                                         value,                                         index,                                         reqLength){              (urb)->UrbHeader.Length = (USHORT) sizeof( struct _URB_CONTROL_VENDOR_OR_CLASS_REQUEST);              (urb)->UrbHeader.Function = function;              (urb)->UrbControlVendorClassRequest.Index = (index);              (urb)->UrbControlVendorClassRequest.RequestTypeReservedBits = (requestType);              (urb)->UrbControlVendorClassRequest.Request = (request);              (urb)->UrbControlVendorClassRequest.Value = (value);              (urb)->UrbControlVendorClassRequest.TransferFlags = (transferFlags);              (urb)->UrbControlVendorClassRequest.TransferBuffer = (transferBuffer);              (urb)->UrbControlVendorClassRequest.TransferBufferLength = (transferBufferLength); }