《网络攻防技术（第2版）》 —3.4.2　键盘记录

3.4.2　键盘记录

由于口令一般都由用户通过键盘输入，因此可以通过监视记录用户键盘输入来获得口令，键盘记录也是一种有效的被动攻击方法。键盘记录有硬件截获和软件截获两种形式。

硬件截获是通过修改主机的键盘接口（PS/2或USB），使之在向主机传递I/O数据的同时，将信息发送给攻击者，这种方式要求攻击者修改硬件。

图3-14　嗅探邮箱口令

大多数键盘记录是通过软件的方式，将操作者在使用电脑过程中曾经运行的程序、访问过的网站、输入的字母等都记录下来，再以各种形式（如电子邮件）发送给安装键盘记录工具的人。键盘记录通常作为木马功能的一部分，实现键盘记录后将结果发送给远程攻击者。其实现方法是通过监视操作系统处理键盘输入的接口，将来自键盘的数据记录下来，具体方法因不同系统而异。

键盘记录的好处就是在口令加密和传输之前就可以直接得到明文密码，因为键盘记录截获的是按键动作，所有的密码都是通过按键输入的。在Windows系统里，通常是通过在操作系统中安装钩子来截获系统消息实现键盘记录。钩子是Windows系统的窗口消息处理机制，可以处理键盘按键消息、鼠标按键和移动消息等。通过注册一段用以处理全局键盘消息的钩子程序，攻击者就可以在键盘消息到达目的窗口之前抢先截获，并在钩子函数中对截获的消息进行加工处理，还原出口令原文。