windwos键盘的过滤（Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数）

原理：
    计算机硬件往往通过中断来通知cpu某个事件的发生。
    int n可以触发软件中断（软件中断又叫异常），而IDT（中断描述符表）中，每一个中断号在这个表中都有一项，每一项的描述符中可以读到一个函数首地址。
    硬件中断一般被称为IRQ，比如IRQ1一定是PS/2键盘。一个IRQ一般都需要一个中断处理程序来处理,这就需要一个IRQ号到中断号的对应关系。
    IOAIPC的作用在于当一个IRQ发生时，这个硬件将负责决定将IRQ发送给哪个CPU核心，以及以何种形式发送等。IOAIPC是可编程的，因此可以将PS/2键盘的硬件中断请求(IRQ1)发送给某个CPU核心，让该核心的IDT中的某个中断对应的中断处理服务程序来处理。

    所以我们用两种方法来过滤键盘按键：修改IDT，或者修改IOAPIC重定位表。      

一、Hook键盘中断反过滤

      如果不想让键盘过滤驱动程序或回调函数首先获得按键，则必须比端口驱动更加底层一些。

       早期版本的QQ反盗号驱动的原理是这样的：用户要输入密码时（比如把输入焦点移动到了密码框里），就注册一个中断服务来接管键盘中断，比如0x93中断，之后按键就不关键驱动的事了。

1.中断：IRQ和INT
学过计算机体系结构的人都知道硬件往往是通过中断来通知CPU某个事件的发生。比如按键按下了。但是中断并不一定要有任何硬件的通知，一条指令就能使CPU“发生中断”。比如，在一个.c文件写上：
_asm int 3
这样的代码常常来人工设置一个断点，执行到这里程序会中断。int n（n为中断号）可以触发软件中断（软件中断又叫异常），触发的本质是：是CPU的执行暂停，并跳到中断处理函数，中断处理函数已经事先保存在内存中。同时，这些函数的首地址保存在一个叫做IDT(中断描述符表)的表中，每一个中断号在这个表中都有一项。
一旦一个int n被执行,则CPU会到IDT中去查找第n项。其中有一个中断描述符，在这个描述符里可以读到一个函数的首地址，然后CPU就跳到这个首地址去执行了。当然，适当的处理之后一般都会回来继续前面程序的执行。这就是中断的过程。
真正的中断一般被称为IRQ。某个IRQ来自什么硬件，这在很大程度上有规定的。比如IRQ1一定是PS/2键盘，只有少数几个IRQ留给用户自用。一个IRQ一般都需要一个中断函数来处理，但是IRQ没有中断号那么多，只有24个。IRQ的处理也是由中断处理函数来处理的，这就需要一个IRQ号到中断号的对应关系。这样一个IRQ发生时，CPU才知道跳转到哪里。
在IOAIPC出现之后，这个对应关系变得可以修改，在Windows上，PS/2键盘按键或者释放键发生一般都是int0x93，正是因为这个关系（IRQ1->int 0x93）被设置了的原因。
这样我们就有了一个简单的方案可以保护键盘中断：修改int 0x93在IDT中保存的地址。修改为我们自己写的一个函数，那么这个中断一定是我们先截获到，其他的过滤层都在我们之后了。

2.如何修改IDT
在一个应用程序中修改IDT由于权限问题是做不到的，但是在内核程序中做起来是完全可行的。IDT的内存地址是不定的，但是可以通过一条指令sidt获取。下面的代码可以获得中断描述符表的地址。
请注意，在多核CPU上，每一个核心都有自己的IDT。因此，应该注意对每个核心获取IDT。也就是说，必须确保下面的代码在每个核心上都得到执行。
// 由于这里我们必须明确一个域是多少位，所以我们预先定义几个明
// 确知道多少位长度的变量，以避免不同环境下编译的麻烦.
typedef unsigned char P2C_U8;
typedef unsigned short P2C_U16;
typedef unsigned long P2C_U32;

#define P2C_MAKELONG(low, high) \
 ((P2C_U32)(((P2C_U16)((P2C_U32)(low) & 0xffff)) | ((P2C_U32)((P2C_U16)((P2C_U32)(high) & 0xffff))) << 16))

#define P2C_LOW16_OF_32(data) \
 ((P2C_U16)(((P2C_U32)data) & 0xffff))