No he analizado ningún formgrabber en particular... supongo que los chapuzas capturan las teclas... pero según tengo entendido los buenos instalan una extensión en el navegador (normalmente en el IExplore) y desde ahí pueden trabajar perfectamente...

Otras formas más elaboradas sería capturando el tráfico de la red (siempre que el formulario no fuese por https) o bien secuestrar la página modificando el fichero hosts para que rellenen un formulario propio que sea idéntico al real y luego redirigir al original para que el usuario no se percate...

Seguro que hay más formas, estas son las que se me ocurren ahora... el limite es la imaginación

Si, hookear es lo ideal. Incluso (YST lo hizo) hookeando algunas funciones no propias de windows (como HttpSendRequestA), sinó internas del navegador, se pueden obtener los datos incluso cuando se usa SSL. Y bueno, es cuestión de imaginación, hookando algunas API's que se encarguen de la gestión de memoria seguro que puedes capturar algo también. Lo malo de esto es que tienes que buscar la función adecuada para cada navegador, no es algo genérico.

Saludos