今天群里有个人问为什么vbs脚本无法模拟截取屏幕的按键，我试了一下，果然不行，而模拟其它常规按键（如abcdefg）都是没有问题的。但是微软官方的帮助文档上明确说明了PRINT SCREEN这个键可以用{PRTSC}参数模拟……

我又用C++写了一个模拟PRINT SCREEN键的程序做实验，代码很简单：

#define UNICODE
#define _UNICODE

#include <windows.h>
#include <tchar.h>

最近想做Ring0下执行Ring3代码的东西。查资料找到种通过APC实现的方法，其思想是将要执行的代码注入Ring3下的进程，然后用APC排队。我实现了一下，感觉不太稳定，稍不注意被注入的进程就挂掉了（比蓝屏好多了，呵呵）。我怀疑是KeStackAttachProcess的问题。要注入进程的用户态空间就必然要Attach，但是只要Attach了成功率就很容易变成人品问题……

这里有一篇比较好的讲APC的文章，转过来大家分享：

哈哈！放假了，庆祝一下，砍个毒先~ 嘿嘿嘿~~
这个是回家后在爸爸的电脑上发现的,35K，Peid查一下，nothing found，说明要么是个猛壳（估计脱不掉），要么就是很纯粹的代码，祈祷一下是后者。不过幸好不是MFC，那东西乱七八糟的。

idag加载，貌似确实没壳：

public start
start proc near
push    0Ah             ; int
call 

嘿嘿~又一个恶作剧小程序。

把昨天那个KeyJoke改成了个键盘记录器（内核级的哦~嘿嘿~），做成了开机自启动的服务，结果发现个问题，加载驱动后就无法关机了……

猜测是关机时设备没删除掉，因为这个设备上必然有未完成的IRP（在DbgView里看到键盘设备会截留一个IRP，直到有新按键按下）……

试着创建好设备后先IoRegisterShutdownNotification注册一下，然后在IRP_MJ_SHUTDOWN的派遣例程里把没完成的IRP取消了。

然后果然可以关机了。想起了以前有段时间XP装上摄像头后就无法关机，估计是类似的问题吧……

对了，还有个问题，

刚无聊写了个小东西，可以把键盘上的所有字母按键都变成字母F~哈哈

其实就是个键盘过滤驱动，但是卸载例程老是写不好，每次卸载过后再按键就会蓝屏，后来跟了一下IRP发现是还有未完成的IRP在被键盘设备处理。

然后到处找资料看如何才能判断有无未完成的IRP，结果没找到。后来突然想起，其实只需要在派遣例程里把Irp记录下来：f=Irp，然后在完成例程里f=NULL，卸载例程里判断一下f就可以了。挺简单的。。变笨了……唉……

一直觉得C语言写的代码可以达到很恶心很BT的程度，今天我努力BT了一下。

#include <stdio.h>

int main(){
        int a=6647401;
        int b=1835952503;
        (*(void(*)(int*))4200480)(&b);
        system("pause");
}

嘿嘿~
该程序只能在dev C++上编译，并且编译时扩展名必须为.c

昨晚不知道为什么睡不着，把前段时间写的一些程序整理了一下，发到邪八上去了：

http://forum.eviloctal.com/thread-33578-1-1.html

本代码仅供学习交流。

前段时间做了个查看星号密码框的工具。本以为挺简单的向星号密码文本框控件发送一个WM_GETTEXT消息就行了。这也是网上关于星号查看最流行的一种说法。然而根据我的测试这种方法是错误的！根本得不到任何内容，我猜测如果获得WM_GETTEXT消息的是一个星号密码框，Windows便会检测该消息的来源，若来自其它进程只则返回一个空字符串。
在Win98的时代这个方法也许会有效吧……

另外网上还有一种比较流行的说法是先向目标文本框发送EM_SETPASSWORDCHAR消息，以0作为wPa