Hmm..

(Lt. Google)

Sollte es möglich sein per DLL injection einen Keylogger in die WinLogon.Exe zu bekommen, jedoch ging es in diesen Beiträgen meist um Windows XP.
Testweise hatte ich mal ein Service gebastelt, welcher beim (normalen) Login in der User-Session ein Programm gestartet hat.

Eventuell müsste es auch möglich sein, sich in die Session des Login einzuklinken und dann hat dieser Service (denke ich) die gleichen Möglichkeiten wie in einer normaler Session.

An einer anderen Stelle habe ich gelesen, dass WinLogon.exe sämtliche Tastatureingaben abfängt und blockiert....