如何获取过去一小时内按下的按键列表

Question

操作系统本身不会记录此类信息（为什么会记录？）。考虑一下：如果操作系统本身记录击键，那么键盘记录器作为一种恶意软件就没什么用处，但实际上它们非常流行。除非您一直在运行键盘记录器程序，否则您可能无法获取数据。

如果内存没有被清零或覆盖，那么可能可以从键盘缓冲区中读取最后几个击键 - 尽管你可能需要一个内核模块来执行此操作，因为我怀疑默认情况下是否有办法从用户空间获取内核缓冲区的原始内存 - 但键盘缓冲区不是那么大，也没有时间戳，所以你得到的只是最好是最后 N 次击键，无论它们何时发生。键盘缓冲区也可能无法在重启后继续存在，并且足够偏执的内核开发人员可能实际上已经将其设置为将自身清零（特别是在用户登录等操作之后），专门用于避免将其用作键盘记录器（我相信 TrueCrypt 会为加密的启动卷执行此操作；我知道 Windows 上的 BitLocker 会执行此操作）。

否则，您“最佳”选择（用引号引起来，因为我接下来要建议的通常不被认为是一个好主意）是在您自己的机器上安装一个键盘记录器，将其设置为记录在某个非常安全的地方（请记住，它将捕获各种内容，例如密码和电子邮件正文等），然后继续使用它。安装之前的数据可能无法恢复，但至少您将拥有一个不断增长的文件，其中包含您以后输入的所有内容...

Answer 1

操作系统本身不会记录此类信息（为什么会记录？）。考虑一下：如果操作系统本身记录击键，那么键盘记录器作为一种恶意软件就没什么用处，但实际上它们非常流行。除非您一直在运行键盘记录器程序，否则您可能无法获取数据。

如果内存没有被清零或覆盖，那么可能可以从键盘缓冲区中读取最后几个击键 - 尽管你可能需要一个内核模块来执行此操作，因为我怀疑默认情况下是否有办法从用户空间获取内核缓冲区的原始内存 - 但键盘缓冲区不是那么大，也没有时间戳，所以你得到的只是最好是最后 N 次击键，无论它们何时发生。键盘缓冲区也可能无法在重启后继续存在，并且足够偏执的内核开发人员可能实际上已经将其设置为将自身清零（特别是在用户登录等操作之后），专门用于避免将其用作键盘记录器（我相信 TrueCrypt 会为加密的启动卷执行此操作；我知道 Windows 上的 BitLocker 会执行此操作）。

否则，您“最佳”选择（用引号引起来，因为我接下来要建议的通常不被认为是一个好主意）是在您自己的机器上安装一个键盘记录器，将其设置为记录在某个非常安全的地方（请记住，它将捕获各种内容，例如密码和电子邮件正文等），然后继续使用它。安装之前的数据可能无法恢复，但至少您将拥有一个不断增长的文件，其中包含您以后输入的所有内容...

如何获取过去一小时内按下的按键列表

答案1

相关内容