输入捕获: 合法输入接口劫持

合法输入接口劫持（Legitimate Input Interface Hijacking）是一种通过篡改系统合法输入处理组件实现隐蔽输入捕获的技术。攻击者通过逆向分析目标系统的输入设备驱动、身份认证接口或可信服务模块，将恶意代码植入其数据处理流程，利用系统预设的信任机制掩盖输入截获行为。典型实现包括伪造HID类驱动过滤回调、劫持生物特征认证中间件或寄生在输入法框架服务中，使输入数据的非法截取过程完全遵循系统预设的安全协议规范。

该技术通过深度融入系统信任链实现行为透明化。首先利用驱动签名劫持技术，将恶意过滤驱动伪装成经微软WHQL认证的合法组件，通过驱动堆栈分层架构将击键监控模块置于底层硬件抽象层。其次针对现代系统的生物特征认证体系（如Windows Hello），通过篡改生物识别服务的数据预处理模块，在特征值加密前实施明文截获。在实现层面，采用动态代码重定向技术，在运行时修改输入处理组件的函数指针表，将特定输入事件重定向至恶意处理例程。劫持过程保持原始功能接口的完整性，确保系统输入功能正常运作，同时通过内存擦除技术消除劫持痕迹，使得基于驱动完整性校验或行为模式分析的检测手段难以发现异常。