防止密码被非法获取

防止密码被非法获取

作者:郝峰

----Windows虽然是一个功能强大的操作系统，但其存在的一些先天性不足给黑客

留下了许多可乘之机，著名的BO程序就是利用Windows的这些漏洞来危害计算机的

安全。笔者最近发现了一个很流行的专门获取Edit框Password的工具，甚至其源代

码已在某报纸上发表了,这无疑是对Edit的Password功能的完全否定。本文将首先

分析非法获取Password的原理，然后给出用VisualC＋＋来实现保护Edit框中的

Password不被非法获取的对策。

一、非法获取Password的原理

----Edit是Windows的一个标准控件，当把其Password属性设为True时,就会将输入的

内容屏蔽为星号(＊)，从而达到保护的目的。而Edit框中的内容可通过发

WM_GETTEXT,EM_GETLINE消息来获取。黑客程序就是利用Edit的这个特性，首先枚举当

前程序的所有子窗口，当发现枚举的窗口是EDIT并且具有ES_PASSWORD属性时，则通

过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息，这样Edit框中的内容就一目了

然了。

二、对Password进行保护

----由上述分析可看出，Edit的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者

的身份，只要找到Edit窗口句柄，任何进程都可获取其内容。这里给出一种简单

的方法来验证发送消息者的身份是否合法。

----1.创建新CEdit类

----从CEdit继承一个子类CPasswordEdit,申明全局变量g_bAuthorIdentity表明消息发送者

的身份:

BOOLg_bAuthorIdentity;

----然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证:

LRESULTCPasswordEdit::DefWindowProc

(UINTmessage,WPARAMwParam,LPARAMlParam)

{

//对Edit的内容获取必须通过

以下两个消息之一

if((message==WM_GETTEXT)

(message==EM_GETLINE))

{

//检查是否为合法

if(!g_bAuthorIdentity)

{

//非法获取,显示信息

AfxMessageBox(_T

(“我的密码,可不能让你看!"));

//

return0;

}

//合法获取

g_bAuthorIdentity=FALSE;

}

returnCEdit::DefWindowProc

(message,wParam,lParam);

}

　

　

----2.在数据输入对话框中做处理

----在对话框中申明一个类成员m_edtPassword:

CPasswordEditm_edtPassword;

----然后在对话框的OnInitDialog()中加入下列代码:

m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD,this);

----其目的是将控制与新类做关联。

----之后在对话框的数据交换中将身份设为合法:

voidCDlgInput::DoDataExchange

(CDataExchange＊pDX)

{

//如果获取数据

//注意：对于CPropertyPage类这里不需要if

(pDX－>m_bSaveAndValidate)条件

if(pDX－>m_bSaveAndValidate)

{

g_bAuthorIdentity=TRUE;

}

CDialog::DoDataExchange(pDX);

//{{AFX_DATA_MAP(CDlgInput)

DDX_Text

(pDX,IDC_EDIT_PASSWORD,m_sPassword);

//}}AFX_DATA_MAP

}

----这样，Password输入框就会受到保护。

三、需要注意的问题

----以上的方法仅针对VC程序，对于VB程序，需要借助VC做一个Password的ActiveX控

件，实现方法与上类似。以上程序在VisualC＋＋6.0上通过，并且用黑客程序

PWBTool测试通过。完整演示代码请到http://myhelper.yeah.net的“编程技巧”下载。