这些应用程序通常不直接从浏览器获取数据。

1. 他们分析当前窗口（标题）。例如，如果有类似（购物车、结账、转账、安全 https）的内容，则获取用户输入（直接获取数据，而不是从浏览器获取）。

2. 他们可以检索所有用户输入并且只将敏感数据发送到服务器，数据首先通过正则表达式进行检查。

您可以在此处获取键盘记录器示例：

http://www.rohitab.com/discuss/topic/14610-awsome-c-keylogger/

http://sourceforge.net/apps/mediawiki/pykeylogger/index.php?title=Main_Page

它们通过将恶意代码注入您的浏览器（或您的系统）来工作。他们利用某些漏洞注入恶意代码并导致恶意代码被注入。恶意代码包含某种有效载荷。有效负载可能会监视您与浏览器或网站的交互。

如果您要问坏人如何将恶意代码注入您的系统，那么关键词是“偷渡式下载”。搜索它，你会发现更多。基本上，路过式下载攻击利用浏览器中的一些漏洞，让他们注入恶意代码。

如果您要问有效负载如何窃取您的信用卡，答案是一旦恶意代码在您的系统上运行，它就能够读取所有击键，监视您与所有应用程序的所有交互，并挂钩内部浏览器 API。因此，一旦恶意代码在您的系统上运行，您就会被淹没。

我一直认为这些注入只是注入 html 会呈现另一个控件。例如，当受害者浏览 www.bankingwebsite.com 时，他们会看到一个通常只要求输入卡号和密码的登录屏幕。

假设我们还想要他们的 CCV、到期日和他们母亲的娘家姓。我们可以注入一些 html 并让浏览器呈现这些额外的问题。

通常发生的情况是，黑客将拥有一个他们想要获取详细信息的国家/大陆的常见银行网站列表。然后，他们将收集他们需要注意的 url，并将额外的 html 添加到恶意软件将使用的一些配置文件中。

现在 eBay 通常不会要求提供所有这些额外信息。所以我们注入了一些 HTML 来询问所有受害者的详细信息，并给他们一个理由（欺诈目的），说明他们为什么需要提供这些信息。

查看http://www.xylibox.com/2014/04/zeusvm-and-steganography.html