|
作者:佚名 责任编辑:左决 点击数: 更新时间:2008-4-17 8:42:02 |
通过以上介绍的原理、方法及实现我们了解了如何得到Windows系列密码的方法,一个逻辑的问题是如何防止别人利用这样的间谍程序复制我们的密码?例如我们上网时如果被这样的钩子程序入侵,怎么才能保护密码的安全。首选的解决方法是欺骗间谍程序,在用户程序中不要显示真实的密码,最好是在密码控件中显示一条虚假的密码。这样如果有人用以上的程序来获取密码,那他得到的是虚假的密码而不是真实密码。
当然还有其它的应对策略,一种可行的方法是拦截WM_GETTEXT。但用虚假密码还有其它的好处,通过利用虚假密码代替真密码,那么看到的密码控件上***长度就不能判断密码到底有多长。如果一个程序在其密码控件中显示了“***”的文本,我们立即知道密码只有三个字符的长度,密码的安全性大大降低。但如果通过一些加密算法将密码控件的显示变为一长串的“*”,这种方法常见于微软的密码保护策略。那么密码攻击者将无从下手。
图3 实例演示
12、小结
本文以评论windows系列的密码特点为起点,主要针对2k/XP下的密码渗透进行了分析。通过在进程内注入windows钩子以及利用内存映像文件安全传递钩子句柄等技术,找出一条获取2K/XP中密码的途径。但不可否认这都是建立在利用windows安全漏洞的基础之上的。为了弥补这些安全漏洞,本文在最后也提出一些设想供读者参考。当然只是在技术上解决一些问题是不够的,关键还是人的因素,加强保密观念对于密码的保护起到了至关重要的作用。上一页 [1] [2] [3] |
|
|
|
|
 |
最进更新 |
|
|
|
|
推荐文章 |
|
|
|
|
