📄 vcc5.htm
字号:
<html>
<head>
<title>c++系列</title>
<meta content="text/html; charset=gb2312" http-equiv=Content-Type>
</head>
<p align="center"><script src="../../1.js"></script></a>
<body bgcolor="#ffffff" leftmargin="5" topmargin="1" marginheight="5" marginwidth="5">
<div align=center>
<table border=0 cellpadding=0 cellspacing=0 width=680 align="center">
<tbody>
<tr>
<td width=200 height="59">
</tr>
</tbody>
</table>
<table border=1 bordercolordark=#ffffff bordercolorlight=#ffffff cellpadding=0
cellspacing=0 width=685 align="center" height="70">
<tbody>
<tr>
<td bgcolor=#F9D23C height=14>
<div align=center class=H1> <b><strong><b><font face="幼圆" size="3"><span class="unnamed1">如何防止Edit框中的Password不被非法获取</span></font></b></strong></b></font></div>
</td>
</tr>
<tr valign=top>
<td class=H1 height=212>
<p align="center"><font color="#FF0000"><strong><b><font face="幼圆" size="3"> </span></font></b></strong></font></p>
<p> Windows虽然是一个功能强大的操作系统,但其存在的一些先天性不足,给黑客留下了许多可乘之机,著名的BO程序就是利用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一个很流行的专门获取Edit框Password的工具,甚至其源代码已在某报纸发表,这无疑是对Edit的Password功能的完全否定。本文将首先分析非法获取Password的原理,然后给出用Visual
C++来实现保护Edit框中的Password不被非法获取的对策。 </span></font></p>
<p> (一) 非法获取Password的原理
</span></font></p>
<p> Edit是Windows的一个标准控件,当把其Password属性设为True时,就会将输入的内容屏蔽为星号(*),从而达到保护的目的。而Edit框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来获取。黑客程序就是利用Edit的这个特性,首先枚举当前程序的所有子窗口,当发现枚举的窗口是EDIT并且具有ES_PASSWORD属性时,则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息,这样Edit框中的内容就一目了然了。
</span></font></p>
<p> (二) 对Password进行保护 </span></font></p>
<p> 由上述分析可看出,Edit的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者的身份,只要找到Edit窗口句柄,任何进程都可获取其内容。这里给出一种简单的方法来验证发送消息者的身份是否合法。
</span></font></p>
<p> 1) 创建新CEdit类 </span></font></p>
<p> 从CEdit继承一个子类CPasswordEdit,
申明全局变量g_bAuthorIdentity表明消息发送者的身份: </span></font></p>
<pre> BOOL g_bAuthorIdentity;
</span></font></pre>
<p> 然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证:
</span></font></p>
<pre> <span class="unnamed1">LRESULT CPasswordEdit::DefWindowProc(UINT message,
WPARAM wParam, LPARAM lParam)
{
// 对Edit的内容获取必须通过以下两个消息之一
if(( message == WM_GETTEXT) ||
( message == EM_GETLINE))
{
// 检查是否为合法
if( !g_bAuthorIdentity)
{
// 非法获取,显示信息
AfxMessageBox(_T("我的密码,可不能让你看哦!"));
//
return 0;
}
// 合法获取
g_bAuthorIdentity = FALSE;
}
return CEdit::DefWindowProc(message, wParam, lParam);
}</span></font></pre>
<p> 2) 在数据输入对话框中做处理 </span></font></p>
<p> 在对话框中申明一个类成员m_edtPassword:
</span></font></p>
<pre> CPasswordEdit m_edtPassword;</span></font></pre>
<p> 然后在对话框的OnInitDialog()中加入下列代码:
</span></font></p>
<pre> m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD, this);</span></font></pre>
<p> 其目的是将控制与新类做关联。 </span></font></p>
<p> 之后在对话框的数据交换中将身份设为合法:
</span></font></p>
<pre> void CDlgInput::DoDataExchange(CDataExchange* pDX)
{
// 如果获取数据
// 注意:对于CPropertyPage类这里不需要
if( pDX- >m_bSaveAndValidate) 条件
if( pDX- >m_bSaveAndValidate)
{
g_bAuthorIdentity = TRUE;
}
CDialog::DoDataExchange(pDX);
//{{AFX_DATA_MAP(CDlgInput)
DDX_Text(pDX, IDC_EDIT_PASSWORD, m_sPassword);
//}}AFX_DATA_MAP
}</span></font></pre>
<p> 这样,Password输入框就会受到保护。
</span></font></p>
<p> (三) 需要注意的问题 </span></font></p>
<p> 以上的方法仅针对VC程序,对于VB程序,需要借助VC做一个Password的ActiveX
控件,实现方法与上类似。同时以上程序在Visual C++6.0上通过,并且用黑客程序 PWBTool测试通过。</span></font></p>
<p> 转载自《计算机世界日报》 (文/郝峰) </span></font>
<p align="center"></p>
</td>
</tr>
</tbody>
</table>
</div>
<p align="center"><script src="../../2.js"></script></a>
</body>
</html>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -