密码!你可以逃过监视
IT商界
最近由于笔者的一时疏忽直接导致使用多年的QQ号被人盗取,除了对盗号人的愤怒之外,更多是对现行安全机制的担忧。现在很多的密码都还是采取编辑框输入的方式,而像这种简单的密码设置方式随便一个懂点编程知识的人都可以破解,就更不用说那些流行的专门获取编辑框密码的软件了。其实这些软件无非是利用Windows属性的一些漏洞来达到破解的目的,那么我们也同样可以利用这一点来补上这些漏洞。本程序以VC++6.0为例来说明如何实现对编辑框密码的保护。
保护密码的原理
编辑框是Windows的一个标准控件,当把密码属性设为True时,就会将输入的内容屏蔽为星号(*),从而达到保护的目的。而编辑框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来获取。而那些所谓的星号查看程序就是利用编辑框的这个特性,首先枚举当前程序的所有子窗口,当发现枚举的窗口是编辑框并且具有ES_PASSWORD属性时,则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息,这样编辑框中的内容就一目了然了。
由以上分析可以看出,编辑框的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者的身份,只要找到编辑框窗口句柄,任何进程都可获取其内容,从而使不法之徒有机可乘。那么我们只要对发送消息者的身份是否合法进行验证,就可以有效地保护我们的密码了。
如何来保护
第一步:打开VC++6.0,利用AppWizard生成一个基于对话框的程序框架,在对话框中放入一个编辑框Cedit,从CEdit继承一个子类CpasswordEdit,申明全局变量g_bAuthorIdentity表明消息发送者的身份:
BOOL g_bAuthorIdentity;
然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证:
LRESULT CPasswordEdit::DefWindowProc(UINT message, WPARAM wParam, LPARAM lParam)
{// 对Edit的内容获取必须通过以下两个消息之一
if(( message == WM_GETTEXT)||( message == EM_GETLINE))
{// 检查是否为合法
if(!g_bAuthorIdentity)
{// 非法获取,显示信息
AfxMessageBox(_T("我的密码,谁也别想看到!"));
return 0;
}
// 合法获取
g_bAuthorIdentity = FALSE;
}
return CEdit::DefWindowProc(message, wParam, lParam);
}
第二步:在数据输入对话框中进行处理
在对话框中申明一个类成员m_edtPassword:
CPasswordEdit m_edtPassword;
然后在对话框的OnInitDialog()中加入下列代码:
m_edtPassword.SubclassDlgItem(IDC_EDIT_PASS WORD, this);
//目的是将控制与新类做关联。
然后在对话框的数据交换中将身份设为合法:
void CDlgInput::DoDataExchange(CDataExchange*pDX)
{// 如果获取数据
// 注意:对于CPropertyPage类这里不需要
if( pDX- >m_bSaveAndValidate) 条件
if( pDX- >m_bSaveAndValidate)
{
g_bAuthorIdentity = TRUE;
}
CDialog::DoDataExchange(pDX);
//{{AFX_DATA_MAP(CDlgInput)
DDX_Text(pDX, IDC_EDIT_PASSWORD, m_sPass word);//}}AFX_DATA_MAP
}
程序到此全部完成,按“Ctrl+F5”组合键编译并运行本程序,你可以试着在编辑框中随便输入一些密码,然后用那些查看密码的软件试试,相信结果不会令你失望的。以上程序在Windows98、Visual C++6.0下调试通过。