Na WIndows XP tuhle událost kernel pouštěl do okna s názvem SAS Windows vlastněného procesem winlobogn.exe (nebo možná logongui.exe, něco na ten způsob). Takže pokud jste chtěli tuto kombinaci zachytit (a měli k tomu dost práv), dalo se toto okno "zahookovat".
Na vyšších než XP jsem netestoval, ale myslím, že princip SAS okna tam zůstal.
Nevím, jak DirectX, ale low level keyboard hook (WH_KEYBOARD_LL) tuto zkratku není schopen zachytit (a to se také nachází dost nízko).
> winlogon.exe. Je to tak i na novějších verzích Windows, ale winlogon hooky už nefungují a to okno běží na vlastní privilegované ploše, kam se nic bez podpisu MS nedostane. (Ale pořád si můžete napsat vlastní backend pro ověření hesla a Windows vám jej ochotně předají.)
Na ten desktop winlogonu jsem měl problém dostat se i v XP, ale to se dalo obejít injekcí kódu přímo do toho procesu.
Vlastní ověření samozřejmě bude fungovat.