《寒江独钓》键盘过滤部分程序修改

void __stdcall print_keystroke(UCHAR sch,USHORT stch)
{
 UCHAR ch = 0;
 int  off = 0;

 if (!stch) //make
 {
  switch (sch)
  {
  case 0x3A:
   kb_status ^= S_CAPS;
   DbgPrint("CAPS");
   break;

  case 0x2A:
  case 0x36:
   kb_status |= S_SHIFT;
   DbgPrint("SHIFT");
   break;

  case 0x45:
   kb_status ^= S_NUM;
  }
  
      
 }
 else  //break
 {
  if (sch == 0x2A || sch == 0x36)
   kb_status &= ~S_SHIFT;
 }
 
 if ((sch < 0x47) || 
    ((sch >= 0x47 && sch < 0x54) && (kb_status & S_NUM))) // Num Lock
   { if(kb_status==6||kb_status==2) off=84;
    if(kb_status==5||kb_status==1) off=168;
    if(kb_status==7||kb_status==3) off=252;
    ch = asciiTbl[off+sch];
   }

 if (ch >= 0x20 && ch < 0x7F)
 {
  DbgPrint("%C \n",ch);
 }

}
标红的地方就是我修改的地方。主要有：

（1）原程序是用sch与0x80相与是否为零判断其是按下状态还是释放状态。通过调试我发现自己的电脑并没有在扫描码最高位添1来表示其DOWN或UP状态，所以我将函数修改了一下，将KeyData->Flags的值传进去来判断其状态，1为UP，0为DOWN。

（2）对于SHIFT键需要判断其处于按下或弹起，因为其按下有效，弹起则无效。

（3）原程序中虽设置了一个偏移值off，但其未对它进行处理。我根据头文件的ASCII码表，对于CAPS、SHIFT以及两者同时按下的情况对off值进行处理，从而实现打印出相应大小写值。

目前仍存在一个问题未解决，就是每次驱动服务启动后，对于第一个按下的键无法捕捉到其按下的状态，只能反应出该键弹起的状态。现在仍不清楚其原因是什么。

程序有一个好玩的地方就是可以修改按键的扫描码，从而使系统无法正确接收到键盘输入的信息。这一点可以用来做些简单的木马程序。

转自：http://blog.163.com/sherlock_105/blog/static/3275329201051915733261/