Windows 版 (精华区)

发信人: wugang (◆◆King◆◆), 信区: OS
标  题: [转载] 如何防止Edit框中的Password不被非法
发信站: 紫 丁 香 (Wed Oct 13 06:24:13 1999), 转信

【 以下文字转载自 Hacker 讨论区 】
【 原文由 wugang 所发表 】

如何防止Edit框中的Password不被非法
                                               获取
                                                郝峰
                              [请作者提供详细的邮政地址给我们]
                    ---- Windows虽然是一个功能强大的操作系统，但其存在的一些

                    先天性不足，给黑客留下了许多可乘之机，著名的BO程序就是利

                    用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一
                    个很流行的专门获取Edit框Password的工具，甚至其源代码已在

                    某报纸发表，这无疑是对Edit的Password功能的完全否定。本文

                    将首先分析非法获取Password的原理，然后给出用Visual C++来

                    实现保护Edit框中的Password不被非法获取的对策。
                    ---- (一) 非法获取Password的原理
                    ---- Edit是Windows的一个标准控件，当把其Password属性设为

                    True时,就会将输入的内容屏蔽为星号(*)，从而达到保护的目
                    的。而Edit框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来
                    获取。黑客程序就是利用Edit的这个特性，首先枚举当前程序的

                    所有子窗口，当发现枚举的窗口是EDIT并且具有ES_PASSWORD属
                    性时，则通过SendMessage向此窗口发送WM_GETTEXT或
                    EM_GETLINE消息，这样Edit框中的内容就一目了然了。
                    ---- (二) 对Password进行保护
                    ---- 由上述分析可看出，Edit的漏洞在于没有检查发送
                    WM_GETTEXT或EM_GETLINE消息者的身份，只要找到Edit窗口句
                    柄，任何进程都可获取其内容。这里给出一种简单的方法来验证

                    发送消息者的身份是否合法。
                    ---- 1) 创建新CEdit类
                    ---- 从CEdit继承一个子类CPasswordEdit, 申明全局变量
                    g_bAuthorIdentity表明消息发送者的身份:
                        BOOL g_bAuthorIdentity;
                    ---- 然后响应CWnd的虚函数DefWindowProc,在这个回调函数中
                    进行身份验证:
                    LRESULT CPasswordEdit::DefWindowProc(UINT message,
                     WPARAM wParam, LPARAM lParam)
                        {
                            // 对Edit的内容获取必须通过以下两个消息之一
                            if(( message == WM_GETTEXT) ||
                            ( message == EM_GETLINE))
                            {
                                // 检查是否为合法
                                if( !g_bAuthorIdentity)
                                {
                                    // 非法获取,显示信息
                                    AfxMessageBox(_T("我的密码,可不能让你看哦
!"));
                                    //
                                    return 0;
                                }
                                // 合法获取
                                g_bAuthorIdentity = FALSE;
                            }
                            return CEdit::DefWindowProc(message, wParam, lPa
ram);
                        }
                    ---- 2) 在数据输入对话框中做处理
                    ---- 在对话框中申明一个类成员m_edtPassword:
                        CPasswordEdit m_edtPassword;
                    ---- 然后在对话框的OnInitDialog()中加入下列代码:
                        m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD, thi
s);
                    ---- 其目的是将控制与新类做关联。
                    ---- 之后在对话框的数据交换中将身份设为合法:
                        void CDlgInput::DoDataExchange(CDataExchange* pDX)
                        {
                            // 如果获取数据
                                    // 注意：对于CPropertyPage类这里不需要
                            if( pDX- >m_bSaveAndValidate) 条件
                            if( pDX- >m_bSaveAndValidate)
                            {
                                g_bAuthorIdentity = TRUE;
                            }
                            CDialog::DoDataExchange(pDX);
                            //{{AFX_DATA_MAP(CDlgInput)
                            DDX_Text(pDX, IDC_EDIT_PASSWORD, m_sPassword);
                            //}}AFX_DATA_MAP
                    }
                    ---- 这样，Password输入框就会受到保护。
                    ---- (三) 需要注意的问题
                    ---- 以上的方法仅针对VC程序，对于VB程序，需要借助VC做一
                    个Password的ActiveX 控件，实现方法与上类似。同时以上程序

                    在Visual C++6.0上通过，并且用黑客程序 PWBTool测试通过。 

--
                       _______
      伞              ノ____ノ\           ★       伞     ┌───────┐
     伞伞             ｜ ∩  ▓                   伞伞    │ ◆◆KING◆◆ │
    伞伞伞            ˉˉˉˉˉ -_              伞伞伞   │ Icq:10689743 │
      ‖             ▇▇▇▇▇▇   -__--          ‖     └───────┘ 
_._.-*'"'*-._,_.-*'"'*-._,_.-*'"'*-._,_.-*'"'*-._,_.-*'"'*-._,_.-*'"'*-._,_.-* 

※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: rainy.hit.edu.cn]
--
※ 转载:．紫 丁 香 bbs.hit.edu.cn．[FROM: rainy.hit.edu.cn]