使用 Windwos 钩子获取丢失的密码

使用 Windwos 钩子获取丢失的密码

作者：Brian Friesen
编译：VCKBASE

原文出处：PasswordSpy - Retrieving lost passwords using Windows hooks

下载源代码

关键字：钩子 进程间通讯 单实例 操作系统版本

简介

　　几年前我在CodeGuru 上下载了一个叫 Eureka的程序，如果你忘记了密码，你可以用程序把密码“取”回来。它不是密码破解程序，相反，它利用了一个Windows的安全漏洞来拷贝另外一个运行中的程序的密码。我对这个程序很感兴趣，决定写一个自己的版本。后来，Windows 2000 发布，我失望地发现，微软修补了那个漏洞，这样一来那个程序在Windows 2000上也就不灵了。经过一番尝试，我终于找到一个方法拷贝任何在32-位Windows 系统上运行程序的密码。

本文例子程序：

使用方法：

　　PasswordSpy程序的使用非常简单。你只要运行包含忘记了密码的程序，再运行PasswordSpy。然后将放大镜拖动到密码输入域上，PasswordSpy则会将密码显示出来。PasswordSpy程序并没有恶意，开发它的目的只是想把密码找回来，该程序在Win95/98/ME and WinNT/2K/XP/Windows 2003 上测试通过。

功能说明：

除了PasswordSpy本身的用途之外，它还示范了一些有用和有趣的代码：

• 单实例应用——如果用户启动了PasswordSpy的第二个实例，系统会找到第一个实例，并在所有窗口的最前端显示出PasswordSpy界面；
• Always on top——总是在最顶层，只用一行代码就可以在你的程序中启动和禁用这个功能；
• 进程间通讯——PasswordSpy 使用几种形式的IPC，包括WM_COPYDATA消息以及内存映射文件；
• 设置窗口钩子——为了在Windows 2000/Windows XP中吸取密码，你得使用在远程进程中置入一个钩子。

代码实现细节：

　　到目前为止，PasswordSpy 程序最有趣的部分其实是使用 SetWindowsHookEx API.函数设置Windows 钩子。利用该函数你可以将钩子安装到操作系统中或者某个特定的进程中。钩子的种类有很多种，每种钩子作用也不尽相同，用来监视特定的一组事件。当某一类事件发生时，钩子代码被调用。PasswordSpy使用WH_GETMESSAGE钩子，它监视对GetMessage 和PeekMessage 的调用。关于钩子更详细的信息请参考MSDN库的SetWindowsHookEx。
　　我在网上、书本以及MSDN上找到几个有关钩子的例子，每个都至少有一个Bug。本文我用自己的方案解决了这些问题。使用Windows钩子最难的部分是妥善存储钩子句柄。设置钩子之前，你需要做两件事情：

1. 包含钩子函数的DLL；
2. 钩子要作用的线程ID；

　　现在假设进程A要在进程B中设置钩子。钩子注入进程B以后，该钩子句柄被返回到进程A，同时DLL被映射到进程B的地址空间。当进程B中某个钩子事件发生时，你的钩子代码便在进程B中被调用。（应该注意的一点是你的钩子代码是从远程进程空被调用的！钩子代码里，如果调用GetCurrentProcessId 函数，那么获得的是钩子进程的ID，而不是设置钩子的进程ID）。你可以在钩子代码中做任何想做的事情，但是在钩子代码退出之前，你应该调用CallNextHookEx。如果这个函数调用失败，其它任何已经安装的钩子无法获得消息。因为CallNextHookEx需要该钩子句柄，但我们当前是在进程B中，而句柄被返回到进程A，因此，此时需要进程间通讯来传输钩子句柄。
通常解决这个问题的方法是通过在DLL中创建一个“共享”内存区：

#pragma data_seg("Shared")            HHOOK g_hHook = NULL;            #pragma data_seg()            #pragma comment(linker, "/section:Shared,rws")            

//***********************************************            // IPC.h            //***********************************************            #ifndef _IPC_H_            #define _IPC_H_            #define IPC_SHARED_MMF  _T("{34F673E0-878F-11D5-B98A-00B0D07B8C7C}")            #define IPC_MUTEX       _T("{34F673E1-878F-11D5-B98A-00B0D07B8C7C}")            // 使用内存映射文件进行进程间通讯的封装类            class CIPC            {            public:            CIPC();            virtual ~CIPC();            bool CreateIPCMMF(void);            bool OpenIPCMMF(void);            void CloseIPCMMF(void);            bool IsOpen(void) const {return (m_hFileMap != NULL);}            bool ReadIPCMMF(LPBYTE pBuf, DWORD &dwBufSize);            bool WriteIPCMMF(const LPBYTE pBuf,            const DWORD dwBufSize);            bool Lock(void);            void Unlock(void);            protected:            HANDLE m_hFileMap;            HANDLE m_hMutex;            };            #endif            //***********************************************            // IPC.cpp            //***********************************************            #include "IPC.h"            //***********************************************            CIPC::CIPC() : m_hFileMap(NULL), m_hMutex(NULL)            {            }            //***********************************************            CIPC::~CIPC()            {            CloseIPCMMF();            Unlock();            }            //***********************************************            bool CIPC::CreateIPCMMF(void)            {            bool bCreated = false;            try            {            if(m_hFileMap != NULL)            return false;    // Already created            // Create an in-memory 4KB memory mapped            // file to share data            m_hFileMap = CreateFileMapping((HANDLE)0xFFFFFFFF,            NULL,            PAGE_READWRITE,            0,            4096,            IPC_SHARED_MMF);            if(m_hFileMap != NULL)            bCreated = true;            }            catch(...) {}            return bCreated;            }            //***********************************************            bool CIPC::OpenIPCMMF(void)            {            bool bOpened = false;            try            {            if(m_hFileMap != NULL)            return true;    // Already opened            m_hFileMap =            OpenFileMapping(FILE_MAP_READ | FILE_MAP_WRITE,            FALSE,            IPC_SHARED_MMF);            if(m_hFileMap != NULL)            bOpened = true;            }            catch(...) {}            return bOpened;            }            //***********************************************            void CIPC::CloseIPCMMF(void)            {            try            {            if(m_hFileMap != NULL)            CloseHandle(m_hFileMap), m_hFileMap = NULL;            }            catch(...) {}            }            //***********************************************            bool CIPC::ReadIPCMMF(LPBYTE pBuf, DWORD &dwBufSize)            {            _ASSERTE(pBuf);            bool bSuccess = true;            try            {            if(m_hFileMap == NULL)            return false;            DWORD dwBaseMMF = (DWORD)MapViewOfFile(m_hFileMap,            FILE_MAP_READ | FILE_MAP_WRITE,            0, 0, 0);            _ASSERTE(dwBaseMMF);            // The first DWORD in the MMF contains the size of the data            DWORD dwSizeofInBuf = dwBufSize;            CopyMemory(&dwBufSize, (LPVOID)dwBaseMMF, sizeof(DWORD));            if(dwSizeofInBuf != 0)            {            if(dwBufSize > dwSizeofInBuf)            bSuccess = false;            else            CopyMemory(pBuf,            (LPVOID)(dwBaseMMF + sizeof(DWORD)),            dwBufSize);            }            UnmapViewOfFile((LPVOID)dwBaseMMF);            }            catch(...) {}            return bSuccess;            }            //***********************************************            bool CIPC::WriteIPCMMF(const LPBYTE pBuf, const DWORD dwBufSize)            {            _ASSERTE(pBuf);            bool bSuccess = true;            try            {            if(m_hFileMap == NULL)            return false;            DWORD dwBaseMMF = (DWORD)MapViewOfFile(m_hFileMap,            FILE_MAP_READ | FILE_MAP_WRITE,            0, 0, 0);            _ASSERTE(dwBaseMMF);            // The first DWORD in the MMF contains the size of the data            CopyMemory((LPVOID)dwBaseMMF, &dwBufSize, sizeof(DWORD));            CopyMemory((LPVOID)(dwBaseMMF + sizeof(DWORD)),            pBuf,            dwBufSize);            UnmapViewOfFile((LPVOID)dwBaseMMF);            }            catch(...) {}            return bSuccess;            }            //***********************************************            bool CIPC::Lock(void)            {            bool bLocked = false;            try            {            // First get the handle to the mutex            m_hMutex = CreateMutex(NULL, FALSE, IPC_MUTEX);            if(m_hMutex != NULL)            {            // Wait to get the lock on the mutex            if(WaitForSingleObject(m_hMutex, INFINITE) ==            WAIT_OBJECT_0)            bLocked = true;            }            }            catch(...) {}            return bLocked;            }            //***********************************************            void CIPC::Unlock(void)            {            try            {            if(m_hMutex != NULL)            {            ReleaseMutex(m_hMutex);            CloseHandle(m_hMutex);            m_hMutex = NULL;            }            }            catch(...) {}            }            

　　上述内容是关于通过编程途径从其它程序“拷贝”密码，下面的内容我们将讨论：如何防止PasswordSpy这样的程序从你的程序中获取密码信息？如果你的应用程序存储并显示密码，你有特别关注安全问题，你可能会考虑让应用堤防类似PasswordSpy这样的程序。
　　因为PasswordSpy可以拷贝其它程序的密码，为了防范这样的程序，你首先就决不能将真正的密码信息显示出来。最佳办法是在密码框中显示假密码。这样一来，如果有人使用PasswordSpy 获取密码，那他们得到的是一个假密码。本文附带的程序AntiPwdSpy示范了如何保护密码框控件免遭“侦测”。AntiPwdSpy实际上类似于Windows NT服务对话框和Windows NT 用户管理程序。
　　防范诸如PasswordSpy这类程序的其它方法还可以通过截获WM_GETTEXT消息来实现。但使用虚假密码的方法有额外的好处，用假密码替代真密码，仅检查密码控件是无法确定密码的长度的。如果某个程序显示密码控件中的文本“***”，那么就可以知道密码是三位长度。这样的信息肯定危及密码的安全。但是，如果将密码控件中的信息显示成“**************”便可以有效地保护密码，微软的很多程序产品就是这么做的。

参考资料

• Password Retrieval Application by Tom Archer
• Window Handle Picker Sample by Mike Marquet