Você teria que escrever um driver que entra no sistema operacional para alterar seu comportamento e não seria suportado. O C-A-D é a chave de "atenção segura" - que o MS diz, "garante" que você está falando com a senha real / tela de login, já que qualquer outra coisa pode ser interceptada ou falsificada. A implicação é que o C-A-D não pode ser interceptado ou falsificado por nenhum mecanismo suportado.
Eu aposto que também é o caso, que se você bolasse algo que permitisse interceptar o CAD, a MS provavelmente consideraria isso como uma falha de segurança e emitiria um patch para evitar que o seu método funcionasse.