键盘记录

对手可能会记录用户的按键，以在用户输入凭据时拦截凭据。当操作系统凭据转储无效时，键盘记录可能会用于获取新访问机会的凭据，并且可能需要对手在系统上拦截按键一段时间才能成功捕获凭据。为了增加快速捕获凭据的可能性，对手还可能执行诸如清除浏览器Cookie以强制用户重新认证系统的操作。(引用: Talos Kimsuky Nov 2021) 键盘记录是最常见的输入捕获类型，具有多种拦截按键的方法。(引用: Adventures of a Keystroke) 一些方法包括： * 挂钩用于处理按键的API回调。与凭据API挂钩不同，这主要关注用于处理按键数据的API函数。 * 从硬件缓冲区读取原始按键数据。 * Windows注册表修改。 * 自定义驱动程序。 * 修改系统镜像可能为对手提供挂钩到网络设备操作系统的机会，以读取登录会话的原始按键。(引用: Cisco Blog Legacy Device Attacks)