使用 Windows 钩子获取丢失的密码

　　简介

　　几年前我在CodeGuru 上下载了一个叫 Eureka的程序，如果你忘记了密码，你可以用程序把密码“取”回来。它不是密码破解程序，相反，它利用了一个Windows的安全漏洞来拷贝另外一个运行中的程序的密码。我对这个程序很感兴趣，决定写一个自己的版本。后来，Windows 2000 发布，我失望地发现，微软修补了那个漏洞，这样一来那个程序在Windows 2000上也就不灵了。经过一番尝试，我终于找到一个方法拷贝任何在32-位Windows 系统上运行程序的密码。

　　本文例子程序：

　　图片看不清楚？请点击这里查看原图（大图）。

　　使用方法：

　　PasswordSpy程序的使用非常简单。你只要运行包含忘记了密码的程序，再运行PasswordSpy。然后将放大镜拖动到密码输入域上，PasswordSpy则会将密码显示出来。PasswordSpy程序并没有恶意，开发它的目的只是想把密码找回来，该程序在Win95/98 /ME and WinNT/2K/XP/Windows 2003 上测试通过。

　　功能说明：

　　除了PasswordSpy本身的用途之外，它还示范了一些有用和有趣的代码：

　　单实例应用——如果用户启动了PasswordSpy的第二个实例，系统会找到第一个实例，并在所有窗口的最前端显示出PasswordSpy界面；

　　Always on top——总是在最顶层，只用一行代码就可以在你的程序中启动和禁用这个功能；

　　进程间通讯——PasswordSpy 使用几种形式的IPC，包括WM_COPYDATA消息以及内存映射文件；

　　设置窗口钩子——为了在Windows 2000/Windows XP中吸取密码，你得使用在远程进程中置入一个钩子。

　　代码实现细节：

　　到目前为止，PasswordSpy 程序最有趣的部分其实是使用 SetWindowsHookEx API.函数设置Windows 钩子。利用该函数你可以将钩子安装到操作系统中或者某个特定的进程中。钩子的种类有很多种，每种钩子作用也不尽相同，用来监视特定的一组事件。当某一类事件发生时，钩子代码被调用。PasswordSpy使用WH_GETMESSAGE钩子，它监视对GetMessage 和PeekMessage 的调用。关于钩子更详细的信息请参考MSDN库的SetWindowsHookEx。

　　我在网上、书本以及MSDN上找到几个有关钩子的例子，每个都至少有一个Bug。本文我用自己的方案解决了这些问题。使用Windows钩子最难的部分是妥善存储钩子句柄。设置钩子之前，你需要做两件事情：

　　包含钩子函数的DLL；

　　钩子要作用的线程ID；

　　现在假设进程A要在进程B中设置钩子。钩子注入进程B以后，该钩子句柄被返回到进程A，同时DLL被映射到进程B的地址空间。当进程B中某个钩子事件发生时，你的钩子代码便在进程B中被调用。（应该注意的一点是你的钩子代码是从远程进程空被调用的！钩子代码里，如果调用 GetCurrentProcessId 函数，那么获得的是钩子进程的ID，而不是设置钩子的进程ID）。你可以在钩子代码中做任何想做的事情，但是在钩子代码退出之前，你应该调用 CallNextHookEx。如果这个函数调用失败，其它任何已经安装的钩子无法获得消息。因为CallNextHookEx需要该钩子句柄，但我们当前是在进程B中，而句柄被返回到进程A，因此，此时需要进程间通讯来传输钩子句柄。

　　通常解决这个问题的方法是通过在DLL中创建一个“共享”内存区：

双击代码全选1234#pragma　data_seg("Shared")　HHOOK　g_hHook　=　NULL;　#pragma　data_seg()　#pragma　comment(linker,　"/section:Shared,rws")　　　其实，此处创建了一个变量，所有已经被加载的DLL实例共享这个变量。但这个方法有几个问题，第一，有些编译器不支持这个选项，第二，如果微软要是在未来的Windows中改变“共享”内存区的工作模式该怎么办？这意味着这个技术不再适用。此外，这个方法不是线程同步的，由于有多个线程要访问这个变量，线程同步就变得很重要。为了解决这些问题，我在进程间通讯（IPC）过程中使用了内存映射文件，并利用互斥机制进程线程同步。我将这方面的代码全部封装在一个类中，这个类就是 CIPC。通过使用内存映射文件，我解决了特定编译器选项问题，不用再考虑编译器是否支持共享内存区；仅仅借助Win32 API调用以及用MMFs来提供多进程间共享数据的机制就可以解决问题，在未来的Windows版本中，这些东西是不太可能改变的。互斥保证了线程存取的同步：

//***********************************************　//　IPC.h　//***********************************************　#ifndef　_IPC_H_　#define　_IPC_H_　　#define　IPC_SHARED_MMF　_T("{34F673E0-878F-11D5-B98A-00B0D07B8C7C}")　#define　IPC_MUTEX　　　　_T("{34F673E1-878F-11D5-B98A-00B0D07B8C7C}")　　//　使用内存映射文件进行进程间通讯的封装类　class　CIPC　{　public:　　CIPC();　　virtual　~CIPC();　　　bool　CreateIPCMMF(void);　　bool　OpenIPCMMF(void);　　void　CloseIPCMMF(void);　　　bool　IsOpen(void)　const　{return　(m_hFileMap　!=　NULL);}　　　bool　ReadIPCMMF(LPBYTE　pBuf,　DWORD　&dwBufSize);　　bool　WriteIPCMMF(const　LPBYTE　pBuf,　　　　　　　　　　　const　DWORD　dwBufSize);　　　bool　Lock(void);　　void　Unlock(void);　　protected:　　HANDLE　m_hFileMap;　　HANDLE　m_hMutex;　};　　#endif　　　//***********************************************　//　IPC.cpp　//***********************************************　#include　"IPC.h"　　//***********************************************　CIPC::CIPC()　:　m_hFileMap(NULL),　m_hMutex(NULL)　{　}　　//***********************************************　CIPC::~CIPC()　{　　　CloseIPCMMF();　　　Unlock();　}　　//***********************************************　bool　CIPC::CreateIPCMMF(void)　{　　bool　bCreated　=　false;　　　try　　{　　　　if(m_hFileMap　!=　NULL)　　　　　return　false;　　//　Already　created　　　　　//　Create　an　in-memory　4KB　memory　mapped　　　　//　file　to　share　data　　　　m_hFileMap　=　CreateFileMapping((HANDLE)0xFFFFFFFF,　　　　　　NULL,　　　　　　PAGE_READWRITE,　　　　　　0,　　　　　　4096,　　　　　　IPC_SHARED_MMF);　　　　if(m_hFileMap　!=　NULL)　　　　　bCreated　=　true;　　}　　catch(...)　{}　　　return　bCreated;　}　　//***********************************************　bool　CIPC::OpenIPCMMF(void)　{　　　bool　bOpened　=　false;　　　　try　　　{　　　　　if(m_hFileMap　!=　NULL)　　　　　　　return　true;　　//　Already　opened　　　　　　m_hFileMap　=　　　　　　OpenFileMapping(FILE_MAP_READ　|　FILE_MAP_WRITE,　　　　　　　FALSE,　　　　　　　IPC_SHARED_MMF);　　　　　if(m_hFileMap　!=　NULL)　　　　　　　bOpened　=　true;　　　}　　　catch(...)　{}　　　　return　bOpened;　}　　//***********************************************　void　CIPC::CloseIPCMMF(void)　{　　　try　　　{　　　　　if(m_hFileMap　!=　NULL)　　　　　　　CloseHandle(m_hFileMap),　m_hFileMap　=　NULL;　　　}　　　catch(...)　{}　}　　//***********************************************　bool　CIPC::ReadIPCMMF(LPBYTE　pBuf,　DWORD　&dwBufSize)　{　　_ASSERTE(pBuf);　　　bool　bSuccess　=　true;　　　try　　{　　　　if(m_hFileMap　==　NULL)　　　　　　return　false;　　　　　DWORD　dwBaseMMF　=　(DWORD)MapViewOfFile(m_hFileMap,　　　　　　　　　FILE_MAP_READ　|　FILE_MAP_WRITE,　　　　　　0,　0,　0);　　　　_ASSERTE(dwBaseMMF);　　　　　//　The　first　DWORD　in　the　MMF　contains　the　size　of　the　data　　　　DWORD　dwSizeofInBuf　=　dwBufSize;　　　　CopyMemory(&dwBufSize,　(LPVOID)dwBaseMMF,　sizeof(DWORD));　　　　　if(dwSizeofInBuf　!=　0)　　　　{　　　　　　if(dwBufSize　>　dwSizeofInBuf)　　　　　　　　bSuccess　=　false;　　　　　　else　　　　　　　　CopyMemory(pBuf,　　　　　　　　　　(LPVOID)(dwBaseMMF　+　sizeof(DWORD)),　　　　　　　　　　dwBufSize);　　　　}　　　　　UnmapViewOfFile((LPVOID)dwBaseMMF);　　}　　catch(...)　{}　　　return　bSuccess;　}　　//***********************************************　bool　CIPC::WriteIPCMMF(const　LPBYTE　pBuf,　const　DWORD　dwBufSize)　{　　　_ASSERTE(pBuf);　　　　bool　bSuccess　=　true;　　　　try　　　{　　　　　if(m_hFileMap　==　NULL)　　　　　　　return　false;　　　　　　DWORD　dwBaseMMF　=　(DWORD)MapViewOfFile(m_hFileMap,　　　　　　　FILE_MAP_READ　|　FILE_MAP_WRITE,　　　　　　　0,　0,　0);　　　　　_ASSERTE(dwBaseMMF);　　　　　　//　The　first　DWORD　in　the　MMF　contains　the　size　of　the　data　　　　　CopyMemory((LPVOID)dwBaseMMF,　&dwBufSize,　sizeof(DWORD));　　　　　CopyMemory((LPVOID)(dwBaseMMF　+　sizeof(DWORD)),　　　　　　　　　　　　　　　pBuf,　　　　　　　　　　　　　　　dwBufSize);　　　　　　UnmapViewOfFile((LPVOID)dwBaseMMF);　　　}　　　catch(...)　{}　　　　return　bSuccess;　}　　//***********************************************　bool　CIPC::Lock(void)　{　　　bool　bLocked　=　false;　　　　try　　　{　　　　　//　First　get　the　handle　to　the　mutex　　　　　m_hMutex　=　CreateMutex(NULL,　FALSE,　IPC_MUTEX);　　　　　if(m_hMutex　!=　NULL)　　　　　{　　　　　　　//　Wait　to　get　the　lock　on　the　mutex　　　　　　　if(WaitForSingleObject(m_hMutex,　INFINITE)　==　　　　　　　　　　　　　　　　　　　WAIT_OBJECT_0)　　　　　　　　　bLocked　=　true;　　　　　}　　　}　　　catch(...)　{}　　　　return　bLocked;　}　　//***********************************************　void　CIPC::Unlock(void)　{　　　try　　　{　　　　　if(m_hMutex　!=　NULL)　　　　　{　　　　　　　ReleaseMutex(m_hMutex);　　　　　　　CloseHandle(m_hMutex);　　　　　　　m_hMutex　=　NULL;　　　　　}　　　}　　　catch(...)　{}　}　PasswordSpy的反向工程

上述内容是关于通过编程途径从其它程序“拷贝”密码，下面的内容我们将讨论：如何防止PasswordSpy这样的程序从你的程序中获取密码信息？如果你的应用程序存储并显示密码，你有特别关注安全问题，你可能会考虑让应用堤防类似PasswordSpy这样的程序。

　　因为PasswordSpy可以拷贝其它程序的密码，为了防范这样的程序，你首先就决不能将真正的密码信息显示出来。最佳办法是在密码框中显示假密码。这样一来，如果有人使用PasswordSpy 获取密码，那他们得到的是一个假密码。本文附带的程序AntiPwdSpy示范了如何保护密码框控件免遭“侦测”。AntiPwdSpy实际上类似于Windows NT服务对话框和Windows NT 用户管理程序。

　　防范诸如PasswordSpy这类程序的其它方法还可以通过截获WM_GETTEXT消息来实现。但使用虚假密码的方法有额外的好处，用假密码替代真密码，仅检查密码控件是无法确定密码的长度的。如果某个程序显示密码控件中的文本“***”，那么就可以知道密码是三位长度。这样的信息肯定危及密码的安全。但是，如果将密码控件中的信息显示成“**************”便可以有效地保护密码，微软的很多程序产品就是这么做的。