是否有任何方式来监视Windows环境中的低级别键盘挂钩。 说如果我正在做一个程序试图find键盘logging器。
>没有官方的API来查询安装的键盘钩子。
是的,有。 (你太年轻了,不知道这个…)
你必须阅读PEB。
在Win32 api上查看所有的Windows源代码(每个api,没有记录或没有被拆卸)
关于阅读钩子的讨论
您可能遇到的一个问题是,有些恶意软件不能作为“进程”存在,您可以轻松地进行枚举。
没有官方的API来查询已安装的键盘钩子。 由于MicroSoft不共享Windows的源代码,因此您必须安装键盘钩子并单步执行汇编程序代码,以确定Windows保存此信息的位置。 然后,你可以写一个设备驱动程序来监视这个内存区域的变化。
另一个问题是,至少有一个键盘记录器通过注入键盘的处理器内存并从那里运行。 几乎不可能检测到,如果可以的话,你将不得不知道键盘是如何工作的。
总结:如果您以任何方式成功完成此任务,您可能不会涵盖所有可能的键盘记录程序。 坏消息,我害怕。