防止密码被非法获取

防止密码被非法获取
郝峰

----Windows 虽然是一个功能强大的操作系统，但其存在的一些先天性不足给黑客
留下了许多可乘之机，著名的BO 程序就是利用Windows 的这些漏洞来危害计算机的
安全。笔者最近发现了一个很流行的专门获取Edit 框Password 的工具，甚至其源代
码已在某报纸上发表了, 这无疑是对Edit 的Password 功能的完全否定。本文将首先
分析非法获取Password 的原理，然后给出用Visual C ＋＋来实现保护Edit 框中的
Password 不被非法获取的对策。
一、非法获取Password 的原理
----Edit 是Windows 的一个标准控件，当把其 Password 属性设为True 时, 就会将输入的
内容屏蔽为星号( ＊)，从而达到保护的目的。而Edit 框中的内容可通过发
WM_GETTEXT,EM_GETLINE 消息来获取。黑客程序就是利用Edit 的这个特性，首先枚举当
前程序的所有子窗口，当发现枚举的窗口是EDIT 并且具有ES_PASSWORD 属性时，则通
过SendMessage 向此窗口发送WM_GETTEXT 或EM_GETLINE 消息，这样Edit 框中的内容就一目了
然了。
二、对Password 进行保护
----由上述分析可看出，Edit 的漏洞在于没有检查发送WM_GETTEXT 或EM_GETLINE 消息者
的身份，只要找到Edit 窗口句柄，任何进程都可获取其内容。这里给出一种简单
的方法来验证发送消息者的身份是否合法。
----1. 创建新CEdit 类
----从CEdit 继承一个子类CPasswordEdit, 申明全局变量g_bAuthorIdentity 表明消息发送者
的身份:
BOOL g_bAuthorIdentity;
----然后响应CWnd 的虚函数DefWindowProc, 在这个回调函数中进行身份验证:
LRESULT CPasswordEdit::DefWindowProc
(UINT message, WPARAM wParam, LPARAM lParam)
{
// 对Edit 的内容获取必须通过
以下两个消息之一
if(( message == WM_GETTEXT)
|| ( message == EM_GETLINE))
{
// 检查是否为合法
if( !g_bAuthorIdentity)
{
// 非法获取, 显示信息
AfxMessageBox(_T
(“ 我的密码, 可不能让你看!"));
//
return 0;
}
// 合法获取
g_bAuthorIdentity = FALSE;
}
return CEdit::DefWindowProc
(message, wParam, lParam);
}

----2. 在数据输入对话框中做处理
----在对话框中申明一个类成员m_edtPassword:
CPasswordEdit m_edtPassword;
----然后在对话框的OnInitDialog() 中加入下列代码:
m_edtPassword.SubclassDlgItem(IDC_EDIT_ PASSWORD, this);
----其目的是将控制与新类做关联。
----之后在对话框的数据交换中将身份设为合法:
void CDlgInput::DoDataExchange
(CDataExchange ＊ pDX)
{
// 如果获取数据
// 注意：对于CPropertyPage 类这里不需要if
( pDX －>m_bSaveAndValidate) 条件
if( pDX －>m_bSaveAndValidate)
{
g_bAuthorIdentity = TRUE;
}
CDialog::DoDataExchange(pDX);
//{{AFX_DATA_MAP(CDlgInput)
DDX_Text
(pDX, IDC_EDIT_PASSWORD, m_sPassword);
//}}AFX_DATA_MAP
}
----这样，Password 输入框就会受到保护。
三、需要注意的问题
----以上的方法仅针对VC 程序，对于VB 程序，需要借助VC 做一个Password 的ActiveX 控
件，实现方法与上类似。以上程序在Visual C ＋＋6.0 上通过，并且用黑客程序
PWBTool 测试通过。完整演示代码请到http://myhelper.yeah.net 的“ 编程技巧” 下载。