ОС не записывает такую информацию (с чего бы это?) сам. Подумайте: если бы сама ОС регистрировала нажатия клавиш, было бы мало пользы для клавиатурных шпионов как вида вредоносного ПО, но в действительности они очень популярны. Если вы не запускали программу кейлоггер, вы, вероятно, не можете получить данные.
Может быть возможно прочитать последние несколько нажатий клавиш из буфера клавиатуры, если память не была обнулена или перезаписана - хотя вам, вероятно, понадобится модуль ядра, чтобы сделать это, так как я сомневаюсь, что есть способ получить необработанную память буфер ядра из пространства пользователя по умолчанию - но буфер клавиатуры не такой большой и не имеет временных отметок, поэтому все, что вы получите в лучшем случае , это последние N нажатий клавиш, когда бы они ни происходили. Буфер клавиатуры также, вероятно, не переживет перезагрузку, и достаточно параноидальный разработчик ядра, возможно, фактически установил его на ноль (особенно после таких вещей, как вход в систему пользователя) специально для того, чтобы избежать его использования в качестве кейлоггера (я считаю, TrueCrypt делает это для зашифрованных загрузочных томов; я знаю, что BitLocker в Windows это делает).
В противном случае, ваша "лучшая" ставка (в страшных кавычках, потому что то, что я собираюсь предложить, обычно не считается хорошей идеей), - это установить кейлоггер на свой компьютер, настроить его на вход в систему где-то, надеюсь, очень безопасный (помните, он будет ловить все виды вещей, такие как пароли и электронные письма и т. д.), и использовать их в дальнейшем. Данные перед установкой, вероятно, не подлежат восстановлению, но, по крайней мере, вы будете иметь растущий файл всего, что вы когда-либо набирали в дальнейшем ...