我最近发现了一个名为 KeyScrambler 的程序,它似乎是一个键盘驱动程序过滤器,可以拦截击键并将其打乱,以便键盘记录器在您访问网上银行网站时无法获取您的击键。
我想知道是否有办法判断 KeyScrambler 是否始终是键盘驱动程序过滤器的第一位的,或者是否可以安装另一个驱动程序过滤器并在到达 KeyScrambler 之前拦截击键。
答案1
我相信所有键盘的驱动程序都可以在注册表中找到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
在此键下,您将找到名为“0000”、“0001”等的子键。
它们的数值定义了驱动程序的加载顺序。
由于键盘有多种类型(PS2、USB、蓝牙),上面的注册表项可能不适合您。在这种情况下,只需使用 regedit 搜索“KeyScrambler”或其可执行文件/dll 的名称,您就会找到它。
答案2
假设您使用的是 Windows,则可以使用 Microsoft 的devcon.exe
输出有关设备堆栈的信息。DevCon 是一个驱动程序开发人员实用程序,是设备管理器 GUI 的替代品。输出中可以包含筛选驱动程序。
执行程序是可在此处获得或Windows DDK(DDK 是为 WinXP 和 Win2003 制作的;我相信执行程序包含在当前Windows 驱动程序工具包)。该实用程序基本上是自文档化的;运行devcon help
即可开始使用。
例如,此命令显示系统中键盘类的设备和过滤器:
C:\> devcon 堆栈 =键盘 ACPI\PNP0303\4&891F7F0&0 名称:标准 101/102 键或 Microsoft Natural PS/2 键盘 设置类别:{4D36E96B-E325-11CE-BFC1-08002BE10318} 键盘 类上层过滤器: 知识类别 控制服务: i8042prt HID\VID_15C2&PID_0042&MI_00&COL02\7&18C89C67&0&0001 名称:HID键盘设备 设置类别:{4D36E96B-E325-11CE-BFC1-08002BE10318} 键盘 类上层过滤器: 知识类别 控制服务: 克比迪 找到 2 个匹配的设备。