用VC实现保护EDIT框中的PASSWORD

Windows虽然是一个功能强大的操作系统，但其存在的一些先天性不足，给黑客留下了许多可乘之机，著名的

BO程序就是利用Windows的这些漏洞来危害计算机的安全。最近发现了一个专门获取EDIT框PASSWORD的工具，

甚至其源代码已在某报纸发表，这无疑是对EDIT的PASSWORD功能的完全否定。

本文将首先分析非法获取PASSWORD的原理，然后给出用Visual C++来实现保护EDIT框中的PASSWORD不被非法获

取的对策。

（一）非法获取PASSWORD的原理

EDIT是Windows的一个标准控件，当把其PASSWORD属性设为TRUE时，就会将输入的内容屏蔽为星号（*），从而

达到保护的目的。而EDIT框中的内容可通过发WM_GETTEXT,EM_GETLINE消息来获取。黑客程序就是利用EDIT的

这个特性，首先枚举当前程序的所有子窗口，当发现枚举的窗口是EDIT并且具有ES_PASSWORD属性时，则通过

SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息，这样EDIT框中的内容就一目了然了。

（二）对PASSWORD进行保护

由上述分析可看出，EDIT的漏洞在于没有检查发送WM_GETTEXT或EM_GETLINE消息者的身份，只要找到EDIT窗口

句柄，任何进程都可获取其内容。这里给出一种简单的方法来验证发送消息者的身份是否合法。

1）创建新CEdit类

从CEdit继承一个子类CPasswordEdit, 申明全局变量g_bAuthorIdentity表明消息发送者的身份：

BOOL g_bAuthorIdentity;

然后响应CWnd的虚函数DefWindowProc，在这个回调函数中进行身份验证：

LRESULT CPasswordEdit::DefWindowProc(UINT message,WPARAM wParam,LPARAM lParam)

{

//对EDIT的内容获取必须通过以下两个消息之一

if((message==WM_GETTEXT)||(message==EM_GETLINE))

{

//检查是否为合法

if(!g_bAuthorIdentity)

{

//非法获取，显示信息

AfxMessageBox(_T("我的密码,可不能让你看哦!"));

//

return 0;}

//合法获取

g_bAuthorIdentity=FALSE;

}

return CEdit::DefWindowProc(message,wParam,lParam);

}

2）在数据输入对话框中做处理

在对话框中申明一个类成员

m_edtPassword:CPasswordEdit m_edtPassword;

然后在对话框的OnInitDialog()中加入下列代码:

m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD,this);

其目的是将控制与新类做关联。之后在对话框的数据交换中将身份设为合法:

void CDlgInput::DoDataExchange(CDataExchange* pDX)

{

//如果获取数据

//注意：对于CPropertyPage类这里不需要if(pDX->m_bSaveAndValidate)条件

if(pDX->m_bSaveAndValidate)

{

g_bAuthorIdentity=TRUE;

}

CDialog::DoDataExchange(pDX);

//{{AFX_DATA_MAP(CDlgInput)

DDX_Text(pDX,IDC_EDIT_PASSWORD,m_sPassword);

//}}AFX_DATA_MAP

}

这样，PASSWORD输入框就会受到保护。

（三）需要注意的问题

以上的方法仅针对VC程序，对于VB程序，需要借助VC做一个Password的ActiveX控件，实现方法与上类似。