首先直接给你明确结论：本地的MITM或恶意程序完全有可能捕获到你用远程设备屏幕键盘输入的内容，而且根本不需要用持续屏幕捕获这种低效又容易暴露的方法。下面拆解细节和测试方案：

一、恶意程序捕获输入的核心路径 #

你担心的屏幕捕获确实是一种方式，但攻击者大概率不会用——毕竟持续抓屏会明显拖慢系统，很容易被你察觉。他们有更高效的手段：

• Hook TeamViewer客户端进程：当你点击远程屏幕键盘的按键时，TeamViewer会把这个操作转换成标准化的按键指令（比如模拟Windows的WM_KEYDOWN消息），然后加密发送给远程设备。本地恶意程序可以通过Hook TeamViewer的内存或API，直接读取这些待发送的按键数据，全程不需要碰屏幕画面，几乎没有性能损耗。
• 分析本地鼠标点击坐标映射：远程屏幕在你的本地客户端窗口里是固定位置的，恶意程序可以先识别TeamViewer窗口的位置，再记录你点击的坐标，对照远程屏幕键盘的按键布局，就能精准还原你输入的内容。这种方式只需要捕获鼠标点击事件，资源占用极低。

二、为什么持续屏幕捕获是下下策？ #

正如你所想，持续捕获屏幕会占用大量CPU和GPU资源——尤其是高分辨率屏幕下，每秒几十帧的捕获会让系统明显卡顿、风扇狂转，攻击者这么做等于主动暴露自己。所以现实中几乎没有恶意程序会用这种方式来窃取远程屏幕键盘的输入。

三、可靠的测试方案 #

你可以通过以下三种方式验证本地设备的风险：

1. 用输入捕获工具模拟攻击场景 #

• 拿AutoHotkey写个简单脚本：先获取TeamViewer窗口的位置和尺寸，然后记录所有在该窗口内的鼠标点击坐标；
• 在远程设备上打开标准屏幕键盘，在本地点击各个按键，之后把坐标和屏幕键盘的按键布局做映射，看是否能准确还原输入内容；
• 进阶一点，可以用进程内存读取工具（比如Cheat Engine）查看TeamViewer进程的内存区域，搜索你输入的字符，验证是否能直接从内存中找到对应数据。

2. 监控TeamViewer的进程与网络行为 #

• 用Windows的Process Explorer或者Linux的htop+strace，监控TeamViewer客户端的内存读写和系统调用：
  • 查看是否有未知进程在读取TeamViewer的内存空间；
  • 用Wireshark抓本地网络包，观察是否有异常进程在监听TeamViewer的通信端口（虽然流量加密，但可以看是否有未授权的进程在捕获这些加密包）。

3. 干净虚拟机对比测试 #

• 先在一个完全干净的虚拟机（只装TeamViewer客户端，无任何其他软件）里，用远程屏幕键盘输入一段测试文本，全程监控系统资源和进程行为；
• 然后在同一虚拟机里安装开源的恶意输入捕获工具（比如开源键盘记录器），重复上述操作，对比两次的情况，看恶意工具是否能成功捕获输入内容。

内容的提问来源于stack exchange，提问作者user5654