检测键盘记录器

要可靠地检测所有类型的键盘记录器是非常困难的。本节首先解释其原因，并最终提供一种可能的防御手段。

首先，需要区分几类不同的键盘记录器：

外部（或硬件）键盘记录器是通过某种方式连接到计算机的设备。例如，一个插在键盘和计算机之间的小型设备，或用于窃听无线键盘所发射射频信号的装置。

此类键盘记录器的共同特点是它们是外部于其监控的 Windows 系统的。运行在 Windows 内部的软件无法检测、移除或防御外部键盘记录器。

此处描述的其他类型键盘记录器，均属于在 Windows 内部运行的软件键盘记录器。

Rootkit 键盘记录器在最底层的软件层面记录击键，通常通过将自身作为第二个键盘硬件驱动程序（在 Windows 术语中称筛选驱动程序）进行部署。

一旦安装成功，此类键盘记录器往往能提供最完善的日志记录功能，并且很难被清除。然而，要想首次被安装，这种键盘记录器需要操作系统显式地支持，因此可被 Sandboxie 轻松拦截。

如果此类键盘记录器尝试安装，Sandboxie 应该会报告信息性消息 SBIE2103，除非显式使用了阻止驱动程序设置（参见沙箱设置 > 限制 > 低级访问）禁用该防护。

这些键盘记录器不会伪装成硬件驱动程序，但它们依然需要请求操作系统将其加载（即 hook 到）每个在桌面上运行的程序中。

许多应用程序在正常运行过程中都会安装此类挂钩，若完全禁止所有挂钩，则会导致部分程序无法在沙箱内正常运行。

~~Sandboxie 已移除 - 阻止 hook 命令~~

~~Sandboxie 的做法是部分响应挂钩请求，仅将挂钩应用于与请求应用属于同一沙箱的程序。~~

~~可通过阻止 WinHooks 设置（参见沙箱设置 > 限制 > 低级访问）显式关闭该防护。~~

此类键盘记录器不需要操作系统的协作，并且只能可靠地记录单个程序内的活动。但从 Sandboxie 这类监管程序的视角来看，这些行为没有异常，因此无法阻止。

桌面程序要处理键盘输入，操作系统会向该程序发送描述输入的消息。消息型键盘记录器——通常运行在与被监控程序相同的进程空间——可以通过多种方法监听这些消息，这些方式都不会引发怀疑。

这种键盘记录器通常表现为隐藏的 Web 浏览器插件（或其隐藏组件），因此可轻松记录与 Web 浏览器相关的键盘活动。

这类键盘记录器以你即将访问的网站为攻击目标并对其进行破坏。与上述三类针对本地计算机的键盘记录器不同，它们专门攻击和危害网站。

JavaScript 和 VBScript 语言为网页响应击键事件提供了支持。合理使用这些功能可以实现功能丰富的网页。例如，Google 和 Yahoo! 搜索会根据你输入的内容进行搜索建议。

利用网站安全漏洞，攻击者将脚本型键盘记录器植入站点的某个页面。这些键盘记录器几乎无法与站点上的其他脚本区分开来，可以使用同样的脚本功能响应敲键事件，记录并将数据传输至第三方站点。

Sandboxie 并非为检测或禁用键盘记录器而设计，但它确保被沙箱保护的软件只能留在沙箱内，无法与 Windows 集成，并且可以在你删除沙箱时彻底消除。

这意味着，只要你确保所有不受信任的操作都在沙箱内执行，就可以通过删除沙箱来撤销这些操作的影响，使计算机恢复到可信状态。

第一步，是在使用 Sandboxie 之前确保你的系统未感染恶意键盘记录器。通过杀毒软件或反恶意软件工具扫描系统可以有所帮助。

随后，将所有不受信任的操作——如浏览网页、查看电子邮件和测试未知程序——仅在沙箱的受限区域执行。这并不代表你绝不会感染键盘记录器，但却意味着你可以将其彻底清除：

一旦被清除，它们将无法再记录你的键盘活动，你就可以安全地访问可信网站并输入密码。

注意，如果你不希望频繁删除整个沙箱，可以专门设置一个用于可信浏览的沙箱，在执行可信操作前只删除该沙箱即可。但仍建议先停止所有沙箱中所有活动，以获得最大程度的防护。

另一种防范键盘记录器的措施，是配置 Sandboxie，以仅允许 Web 浏览器访问互联网，试图阻止键盘记录器传送记录的数据。可参见程序设置中 “唯一允许访问互联网的程序” 的设置。

请注意两点警告：