如何防止Edit框中的Password不被非法获取_VB窗体文章_VB_编程开发

如何防止Edit框中的Password不被非法获取

日期：2008-10-20 17:42:23　　　　来源：互联网

　·防止用户编辑文本框控件中的内容　·在EditPlus实现asp(VBScript)的自动完成和函数列表
　·使用API获取颜色

如何防止Edit框中的Password不被非法获取 
郝峰 
---- Windows虽然是一个功能强大的操作系统，但其存在的一些先天性不足，给黑客留下了许多可乘之机，著名的BO程序就是利用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一个很流行的专门获取Edit框Password的工具，甚至其源代码已在某报纸发表，这无疑是对Edit的Password功能的完全否定。本文将首先分析非法获取Password的原理，然后给出用Visual C++来实现保护Edit框中的Password不被非法获取的对策。 

---- (一) 非法获取Password的原理 

---- Edit是Windows的一个标准控件，当把其Password属性设为True时,就会将输入的内容屏蔽为星号(*)，从而达到保护的目的。而Edit框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来获取。黑客程序就是利用Edit的这个特性，首先枚举当前程序的所有子窗口，当发现枚举的窗口是EDIT并且具有ES_PASSWORD属性时，则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息，这样Edit框中的内容就一目了然了。 

---- (二) 对Password进行保护 

---- 由上述分析可看出，Edit的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者的身份，只要找到Edit窗口句柄，任何进程都可获取其内容。这里给出一种简单的方法来验证发送消息者的身份是否合法。 

---- 1) 创建新CEdit类 

---- 从CEdit继承一个子类CPasswordEdit, 申明全局变量g_bAuthorIdentity表明消息发送者的身份: 

    BOOL g_bAuthorIdentity;
    
---- 然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证: 

LRESULT CPasswordEdit::DefWindowProc(UINT message,
 WPARAM wParam, LPARAM lParam) 
    {
        // 对Edit的内容获取必须通过以下两个消息之一
        if(( message == WM_GETTEXT) || 
        ( message == EM_GETLINE))
        {
            // 检查是否为合法
            if( !g_bAuthorIdentity)
            {
                // 非法获取,显示信息
                AfxMessageBox(_T("我的密码,可不能让你看哦!"));
                // 
                return 0;
            }
            // 合法获取
            g_bAuthorIdentity = FALSE;
        }
        return CEdit::DefWindowProc(message, wParam, lParam);
    }
---- 2) 在数据输入对话框中做处理 

---- 在对话框中申明一个类成员m_edtPassword: 

    CPasswordEdit m_edtPassword;
---- 然后在对话框的OnInitDialog()中加入下列代码: 

    m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD, this);
---- 其目的是将控制与新类做关联。 

---- 之后在对话框的数据交换中将身份设为合法: 

    void CDlgInput::DoDataExchange(CDataExchange* pDX)
    {
        // 如果获取数据
		// 注意：对于CPropertyPage类这里不需要 
        if( pDX- >m_bSaveAndValidate) 条件
        if( pDX- >m_bSaveAndValidate)
        {
            g_bAuthorIdentity = TRUE;
        }		
        CDialog::DoDataExchange(pDX);
        //{{AFX_DATA_MAP(CDlgInput)
        DDX_Text(pDX, IDC_EDIT_PASSWORD, m_sPassword);
        //}}AFX_DATA_MAP
}
---- 这样，Password输入框就会受到保护。 

---- (三) 需要注意的问题 

---- 以上的方法仅针对VC程序，对于VB程序，需要借助VC做一个Password的ActiveX 控件，实现方法与上类似。同时以上程序在Visual C++6.0上通过，并且用黑客程序 PWBTool测试通过。

　[1]

防止文本控件中的部分滚动

一个可以靠右显示的简单Edit控件

VB6编程中如何获取硬盘分区信息

--->RapGet V1.35 Final┊可以获取隐藏的直接链接来加速下载┊多国语言绿色免费版
--->Expedition.net V2.4
--->SlimBrowser Lite Edition V4.05.007
--->AntiVir Personal Edition V6.34.01.181
--->NOD32 正版升级ID获取器 V3.5┊一键获Nod32升级帐号密码┊简体中文绿色免费版
Tags:　防止 Edit Password 获取

◎→	本类最新
VB6制作Win98风格的工具栏动态加载ActiveX控件漫谈实现窗口图像缩放、滚动技巧 VB中处理长列表框项的两种方法 VB应用程序中的工具提示和状态显 VB实现窗口的弹出式菜单 VB实现按钮浮动效果

◎→相关资源
C语言入门视频教程 C#编程WinForm入门视频 Asp.net入门视频教程下载 VC++编程视频教程下载 VB窗体文章 HTML入门教程 VB基础视频教程 VB窗体文章 VB文件文章 VB数据库文章 VB-API文章 VB控制文章

◎→	热门资源
在VB中让控件大小和位置随着表单 c在VB中利用API实现窗体的平滑显在ListBox适当设定水平滚动条的宽运行中隐藏显示窗口标题栏运行时改变控件大小的两种方法用VisualBasic制作半透明窗体用Visual Basic设计三维图形按钮