如何防止Edit框中的Password不被非法获取

原创 2002年02月04日 08:42:00
   Windows虽然是一个功能强大的操作系统,但其存在的一些先天性不足,给黑客留下了许多可乘之机,著名的BO程序就是利用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一个很流行的专门获取Edit框Password的工具,甚至其源代码已在某报纸发表,这无疑是对Edit的Password功能的完全否定。本文将首先分析非法获取Password的原理,然后给出用Visual C++来实现保护Edit框中的Password不被非法获取的对策。

  (一) 非法获取Password的原理

  Edit是Windows的一个标准控件,当把其Password属性设为True时,就会将输入的内容屏蔽为星号(*),从而达到保护的目的。而Edit框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来获取。黑客程序就是利用Edit的这个特性,首先枚举当前程序的所有子窗口,当发现枚举的窗口是EDIT并且具有ES_PASSWORD属性时,则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息,这样Edit框中的内容就一目了然了。

  (二) 对Password进行保护

  由上述分析可看出,Edit的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者的身份,只要找到Edit窗口句柄,任何进程都可获取其内容。这里给出一种简单的方法来验证发送消息者的身份是否合法。

  1) 创建新CEdit类

  从CEdit继承一个子类CPasswordEdit, 申明全局变量g_bAuthorIdentity表明消息发送者的身份:

    BOOL g_bAuthorIdentity;
    
  然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证:

LRESULT CPasswordEdit::DefWindowProc(UINT message,
WPARAM wParam, LPARAM lParam)
    {
        // 对Edit的内容获取必须通过以下两个消息之一
        if(( message == WM_GETTEXT) ||
        ( message == EM_GETLINE))
        {
            // 检查是否为合法
            if( !g_bAuthorIdentity)
            {
                // 非法获取,显示信息
                AfxMessageBox(_T("我的密码,可不能让你看哦!"));
                //
                return 0;
            }
            // 合法获取
            g_bAuthorIdentity = FALSE;
        }
        return CEdit::DefWindowProc(message, wParam, lParam);
    }
  2) 在数据输入对话框中做处理

  在对话框中申明一个类成员m_edtPassword:

    CPasswordEdit m_edtPassword;
  然后在对话框的OnInitDialog()中加入下列代码:

    m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD, this);
  其目的是将控制与新类做关联。

  之后在对话框的数据交换中将身份设为合法:

    void CDlgInput::DoDataExchange(CDataExchange* pDX)
    {
        // 如果获取数据
// 注意:对于CPropertyPage类这里不需要
        if( pDX- >m_bSaveAndValidate) 条件
        if( pDX- >m_bSaveAndValidate)
        {
            g_bAuthorIdentity = TRUE;
        }
        CDialog::DoDataExchange(pDX);
        //{{AFX_DATA_MAP(CDlgInput)
        DDX_Text(pDX, IDC_EDIT_PASSWORD, m_sPassword);
        //}}AFX_DATA_MAP
}
  这样,Password输入框就会受到保护。

  (三) 需要注意的问题

  以上的方法仅针对VC程序,对于VB程序,需要借助VC做一个Password的ActiveX 控件,实现方法与上类似。同时以上程序在Visual C++6.0上通过,并且用黑客程序 PWBTool测试通过。

【我的Android进阶之旅】Android 如何防止 so库文件被未知应用盗用?

首先,关于Android 如何防止 so库文件被未知应用盗用这个话题并不是我擅长的,只是在开发中遇到了这个问题,因此在这里总结一下。 故事回到几个月之前,当时公司和第三方音乐平台合作了一款内置于手表系...
  • qq446282412
  • qq446282412
  • 2017年03月25日 18:12
  • 1321

Nginx 防止被域名恶意解析的方法

今天太倒霉了,发现通过IP无法访问服务器的80端口很无语,昨天都还好的啊,也没有修改过配置,其他端口又是正常的,防火墙也没问题。于是问了下机房,给了个崩溃的回复说我们的服务器有个域名没有备案被电信多次...
  • zsjangel
  • zsjangel
  • 2015年12月23日 18:31
  • 5602

Cookie 与session 通熟一点的理解, 并且Cookie防劫持的处理

一:cookie 与session 通俗一点的理解 1. Cookie是什么? 2. 窃取的原理是什么? 3. 系统如何防Cookie劫持呢?   首先我们要明白这三个问题: ...
  • wanghang88
  • wanghang88
  • 2016年06月18日 21:25
  • 1580

精彩编程与编程技巧-如何防止Edit框中的Password不被非法获取...

  • 2009年10月10日 21:34
  • 3KB
  • 下载

如何防止Edit框中的Password不被非法获取

Windows虽然是一个功能强大的操作系统,但其存在的一些先天性不足,给黑客留下了许多可乘之机,著名的BO程序就是利用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一个很流行的专门获取Ed...
  • zqf_office
  • zqf_office
  • 2017年07月07日 15:15
  • 73

类似QQ密码框的安全Password Edit 类

  • 2010年09月04日 10:59
  • 46KB
  • 下载

防止密码被非法获取

Windows虽然是一个功能强大的操作系统,但其存在的一些先天性不足给黑客留下了许多可乘之机,著名的BO程序就是利用Windows的这些漏洞来危害计算机的 安全。笔者最近发现了一个很流行的专门获取Ed...
  • playboy1
  • playboy1
  • 2011年10月18日 17:10
  • 474

IP切换工具 可以替换IP防止DNF非法

  • 2010年07月24日 09:33
  • 235KB
  • 下载

防止非法攻击拦截器

  • 2017年11月08日 20:02
  • 6KB
  • 下载

防止非法复制软件

  • 2006年02月23日 09:05
  • 18KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何防止Edit框中的Password不被非法获取
举报原因:
原因补充:

(最多只允许输入30个字)