木马程序的键盘记录原理

以键盘记录员为例：
这是一个非常贪心的木马程序。它不仅仅是窃取网络游戏的帐号，任何输入电脑的数据都会被它悉数盗走。
木马在系统中释放完文件后，首先会修改SSDT(系统服务调度表)，从而接触各种具有主动防御功能的杀毒软件的武装。然后，它修改注册表中的相关数据，把病毒文件属性设置为“系统”、“隐藏”和“只读”，并将显示模式锁定为隐藏，让用户无法发现病毒文件。
接下来，病毒启动监视程序，监视用户的鼠标、键盘操作，从而记录下用户操作电脑时输入的各种信息。并每隔一段时间，就将这些偷到的信息加密，以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP，是一种可以免除验证的通讯方式，能为WINDOWS系统用户之间的通讯提供便利，但也因此而被一些病毒作者所利用。
由于是采取完整的键盘记录，用户在中毒电脑上输入的所有信息都会被病毒作者所掌握。他只需经过简单的分析和筛选，便可从中找到用户输入的各种帐号和密码，甚至可以掌握用户的个人隐私。
习惯手动查杀的用户，请留意病毒释放出的以下文件，分别为%WINDOWS%system32目录下的mmvo.exe和mmvo0.dll，以及系统临时目录%Temp%中的一个随机命名的.dll格式文件。一定要将它们清除，系统才可恢复正常。

键盘记录通常被木马使用，它们安静的工作在后台，扑捉所有用户的击键，然后记录在非常隐蔽的文件中通过邮件或FTP发送给监视你的人。

一般键盘记录间谍软件结构原理

一般键盘记录间谍软件有三个模块组成：主模块，钩子过程模块以及FTP模块。主模块会先安装一个全局WH_CBT钩子，然后当每一次用户击键时钩子都会回报给主模块。主模块的作用是记录所有回报的击键数据，保存为文件。当记录文件达到一个预定大小时主模块就会命令FTP模块上传记录文件到FTP服务器。

没写过木马 不过我是学编程的 我的目前认识 每个键盘都有对应的 ASCLL 例如 A 对应 97 B 对应 97 依次类推 程序运行后 当键盘事件被触发 也就是 按下某个键 获取他的ASCLL码值 进行转换获取. 要是更深层的也就是 做了一些判断句进行整理 或者当某个指定的程序运行后 例如 QQ 运行后 启动记录程序 获取从远程电脑端发送来的ASCLL码然后转换不过这种处理比较麻烦 一般肉鸡那里做了转换再发来对应的字符存放在一个 TXT文本文件里 !

太难说了，喜欢送个vb写的键盘记录给你玩玩。让你研究下原理，不过要装VB哦