有没有办法检测按键记录软件？

Question

我可能会编写一个程序来检测进行键盘记录的恶意（或非恶意）软件（记录击键以获取信息）。

1. 会使用什么策略？
   • 是否有特定的代码需要查找？
   • 我应该搜索某些位置吗？
2. 我更喜欢 Java 或 Perl，因为我精通这些语言
   • 这些语言有用吗？
   • 是否有更好的语言可以用于此案例？
3. 会用到什么？
   • 代码？
   • 算法？
   • 功能？
   代码

Answer 1

我认为这取决于您想要做什么。如果您正在寻找已知的键盘记录程序，您可以使用任何可以搜索文件系统以查看文件签名的软件。但是，听起来您想检测未知程序。我认为这绝对不可能。键盘记录应用程序可以被动地侦听击键，因此您无法寻找主动签名。了解应该在您的计算机上运行的软件，然后检测开始运行的任何新软件可能会更容易。它不一定是击键记录软件，但它可能是未经授权的软件（或至少尚未获得授权的软件）。

按键操作将作为您可以在应用程序中订阅的事件广播到系统。这就是游戏和其他程序使用键盘输入的方式。整个系统知道何时按下某个键以及按下的是哪个键。你无法知道谁在听。

换句话说，如果这是可能的，它将杀死软件击键记录器，因为每个防病毒和反间谍软件应用程序都可以选择检测和删除所有这些类型的软件。他们有一个与此类似的选项，但它基于已知击键记录器的已知签名。

Answer 2

作为一个试图确定其输入是否正在被键盘记录的程序，对于写得不好的键盘记录器，您可以寻找一些时间模式，例如记录器回收缓冲区时的周期性延迟，但通常键盘记录器非常好 -写入并将自身注入驱动程序链中，因此与正常链无法区分。

在这种情况下，检测键盘记录程序的唯一希望是检查驱动程序链以查找非标准驱动程序（但某些键盘记录程序可以感染标准驱动程序），这在 Windows 环境中并不是特别容易（如此低级别的检查） 。

人们需要插入反病毒/反恶意软件挂钩，以便不仅能够真正访问驱动程序链定义，而且能够真正访问正在执行的实际代码，以检测是否正在发生某些按键记录，这很难，充满官僚作风，除了 C/C++ 之外几乎无法撤销