技術領域

本發明涉及一種防止盜取密碼的方法，具體地說，是涉及一種利 用接管NtUserMessageCall函數并過濾系統消息來防止盜取密碼的 方法。

背景技術

隨著科學技術的發展，人們生活水平的日益提高，互聯網絡在社 會各行各業得到了越來越普遍的應用，人們越來越喜歡通過網絡來進 行交流，甚至網上交易也越來越普遍?；ヂ摼W絡給人們帶來的方便快 捷受到了社會的普遍喜愛，但是隨之而來的是網絡密碼丟失，個人隱 私不再保密，財產安全受到嚴重威脅。

目前，盜取密碼主要有兩種方式：一種是通過設置全局鉤子記錄 用戶的按鍵，另一種則是獲取密碼框句柄后，通過SendMessage等函 數發送WM_GETTEXT消息給密碼框以獲取其中的密碼。在“一種通用 于Windows?2000/XP/2003的枚舉全局鉤子的方法”一文中，對防范 前一種類型的木馬已作出說明。本發明將解決對后一種盜取密碼的木 馬防范問題。

發明內容

本發明的目的是提供一種防止盜取密碼的方法，對采用通過 SendMessage等函數發送WM_GETTEXT消息給密碼框以獲取其中密碼 的盜號木馬進行防御，保障網絡密碼安全。

為了實現上述目的，本發明采用的技術方案如下：

一種防止盜取密碼的方法，包括以下步驟：a.自定義 NtUserMessageCall函數，實現對NtUserMessageCall函數的接管； b.對程序發送過來的消息進行判斷和監控；c.進一步獲取目標窗口的 信息，并判斷目標窗口信息發送是否跨進程；d.根據步驟c的判斷結 果對目標窗口信息進行處理。

所述步驟a中自定義NtUserMessageCall函數的原則為：自定義 的NtUserMessageCall函數的定義與系統自帶的NtUserMessageCall 函數定義相同。

所述步驟b中對消息的判斷包括：

判斷消息是否為WM_GETTEXT；

判斷消息是否為其他受監控消息。

所述步驟d的處理方法為：

對于信息發送未跨進程的目標窗口信息，將其設置為允許狀態， 使目標窗口信息按照其自我設定進行操作；

對于信息發送會跨進程的目標窗口信息，將其設置為禁止狀態， 禁止該信息進行任何操作，從而防止盜號木馬，實現盜取密碼的有效 防止。

本發明的設計前提是：使用者已熟悉系統服務分派表，以及在驅 動程序中接管系統函數等知識。

本發明的設計方法：用戶態的SendMessage函數在內核中對應的 函數為NtUserMessageCall，因此只要接管NtUserMessageCall函數 即可實現對系統消息的控制。

本發明通過自定義NtUserMessageCall函數，來接管系統的 NtUserMessageCall函數，自定義NtUserMessageCall函數主要包括 定義以下內容：接收消息的窗口、要發送的消息、與消息有關的兩個 參數、字符串是否為ANSI編碼等信息。在對信息進行判斷的過程中， 目標窗口是在連續不斷地發送新信息的，在防止盜號木馬發送信息的 同時，為避免阻礙正常信息的發送，必須進一步獲取目標窗口的信息， 并判斷該信息發送是否會跨進程。對于不會跨進程的信息，將其設置 為允許狀態，使其進行正常操作；而對于跨進程發送的信息，則將其 設置為禁止狀態，禁止跨進程操作，從而防止盜號木馬發送信息，保 障密碼的安全。

在用戶態時，使用GetWindowThreadProcessId函數可獲取目標 窗口所在進程的ID，但Native?API與Win32?API并不存在一一對應 的關系，因此本方法使用NtUserQueryWindow函數代替了 GetWindowThreadProcessId。需要注意的是，Win32k.sys并沒有直 接導出該函數，而應該從系統服務分派表中獲取該函數地址。

根據上面所述可知，本發明的主要方法是：利用SendMessage函 數在內核中對應的函數為NtUserMessageCall，通過接管 NtUserMessageCall函數來實現對系統信息的控制，以及對系統信息 的進一步過濾，從而實現盜號木馬的防止，保障網絡密碼的安全。

本發明構思巧妙，方法簡單可行，能夠有效地防止網絡密碼被盜， 主要用于網絡密碼安全領域中，具有很高的實用價值。