取有掩码框的密码
在Windows下输入密码时,为了安全起见通常都以星号来屏蔽用户输入的密码。如果需要在自己编写的应用程序中需要用户输入密码,通常的选择就是选用Edit控件并设置其"密码输入"属性。虽然Edit控件的"密码输入"属性在一定程度上可以保护用户的密码不被视觉偷窥,但在许多窥探密码的黑客软件面前却不起任何作用,密码将赫然暴露于攻击者面前。显然仅仅依靠Edit控件本身的"密码输入"功能已不能胜任保护用户密码的作用了,这就需要我们根据此类黑客软件的攻击方式来采取相应的措施来阻止密码被非法获取。本文将首先 分析非法获取"密码"的原理及工作方式.
非法获取密码的原理
Edit控件是Windows的一个常用标准控件,当把其"密码输入"属性设为真时,就会将输入的内容屏蔽为星号,从而达到保护的目的。虽然我们看来都是星号,但程序中的Edit控件实际仍是用户输入的密码,应用程序可以获取该控件中的密码,其他应用程序也可以通过某种技术手段来非法获取Edit控件中的内容。其中最简单的一个方法就是从外部程序向该编辑控件发出一个取Edit控件内容的消息WM_GETTEXT或EM_GETLINE就能够轻松得到想要的内容。黑客程序正是利用Edit控件的这个特性,当发现当前探测的窗口是Edit控件并且具有ES_PASSWORD属性时,则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息,这样Edit框中的内容就一目了然了。
呵呵,低调,低调! 回个帖子,下班咯~
页:
[1]