[发明专利]一种防止盗取密码的方法

说明书

技术领域

本发明涉及一种防止盗取密码的方法，具体地说，是涉及一种利 用接管NtUserMessageCall函数并过滤系统消息来防止盗取密码的 方法。

背景技术

随着科学技术的发展，人们生活水平的日益提高，互联网络在社 会各行各业得到了越来越普遍的应用，人们越来越喜欢通过网络来进 行交流，甚至网上交易也越来越普遍。互联网络给人们带来的方便快 捷受到了社会的普遍喜爱，但是随之而来的是网络密码丢失，个人隐 私不再保密，财产安全受到严重威胁。

目前，盗取密码主要有两种方式：一种是通过设置全局钩子记录 用户的按键，另一种则是获取密码框句柄后，通过SendMessage等函 数发送WM_GETTEXT消息给密码框以获取其中的密码。在“一种通用 于Windows 2000/XP/2003的枚举全局钩子的方法”一文中，对防范 前一种类型的木马已作出说明。本发明将解决对后一种盗取密码的木 马防范问题。

发明内容

本发明的目的是提供一种防止盗取密码的方法，对采用通过 SendMessage等函数发送WM_GETTEXT消息给密码框以获取其中密码 的盗号木马进行防御，保障网络密码安全。

为了实现上述目的，本发明采用的技术方案如下：

一种防止盗取密码的方法，包括以下步骤：a.自定义 NtUserMessageCall函数，实现对NtUserMessageCall函数的接管； b.对程序发送过来的消息进行判断和监控；c.进一步获取目标窗口的 信息，并判断目标窗口信息发送是否跨进程；d.根据步骤c的判断结 果对目标窗口信息进行处理。

所述步骤a中自定义NtUserMessageCall函数的原则为：自定义 的NtUserMessageCall函数的定义与系统自带的NtUserMessageCall 函数定义相同。

所述步骤b中对消息的判断包括：

判断消息是否为WM_GETTEXT；

判断消息是否为其他受监控消息。

所述步骤d的处理方法为：

对于信息发送未跨进程的目标窗口信息，将其设置为允许状态， 使目标窗口信息按照其自我设定进行操作；

对于信息发送会跨进程的目标窗口信息，将其设置为禁止状态， 禁止该信息进行任何操作，从而防止盗号木马，实现盗取密码的有效 防止。

本发明的设计前提是：使用者已熟悉系统服务分派表，以及在驱 动程序中接管系统函数等知识。

本发明的设计方法：用户态的SendMessage函数在内核中对应的 函数为NtUserMessageCall，因此只要接管NtUserMessageCall函数 即可实现对系统消息的控制。

本发明通过自定义NtUserMessageCall函数，来接管系统的 NtUserMessageCall函数，自定义NtUserMessageCall函数主要包括 定义以下内容：接收消息的窗口、要发送的消息、与消息有关的两个 参数、字符串是否为ANSI编码等信息。在对信息进行判断的过程中， 目标窗口是在连续不断地发送新信息的，在防止盗号木马发送信息的 同时，为避免阻碍正常信息的发送，必须进一步获取目标窗口的信息， 并判断该信息发送是否会跨进程。对于不会跨进程的信息，将其设置 为允许状态，使其进行正常操作；而对于跨进程发送的信息，则将其 设置为禁止状态，禁止跨进程操作，从而防止盗号木马发送信息，保 障密码的安全。

在用户态时，使用GetWindowThreadProcessId函数可获取目标 窗口所在进程的ID，但Native API与Win32 API并不存在一一对应 的关系，因此本方法使用NtUserQueryWindow函数代替了 GetWindowThreadProcessId。需要注意的是，Win32k.sys并没有直 接导出该函数，而应该从系统服务分派表中获取该函数地址。

根据上面所述可知，本发明的主要方法是：利用SendMessage函 数在内核中对应的函数为NtUserMessageCall，通过接管 NtUserMessageCall函数来实现对系统信息的控制，以及对系统信息 的进一步过滤，从而实现盗号木马的防止，保障网络密码的安全。

本发明构思巧妙，方法简单可行，能够有效地防止网络密码被盗， 主要用于网络密码安全领域中，具有很高的实用价值。