一、引言
隨著信息技術的快速發展,人們會越來越重視信息的安全性,信息數據的安全保密已經成為研究計算機發展的一個重要課題。在其它
識別技術尚不能普及情況下,密碼常常被用戶用作保護他們寶貴數據的最后一道屏障,然而有了密碼,用戶也不能高枕無憂,因為現在有很多的工具可以窮舉和竊取
用戶密碼,下面通過Detours簡單介紹一下截取密碼的基本原理,以此提醒用戶密碼要定期更換,而且其它相關的安全保衛措施同樣不可忽視。
二、基本原理
在Windows
編程中,人們普遍使用密碼編輯框,來提示用戶使用密碼,密碼編輯框除了回顯字符之外,與一般的編輯框框控件并沒有任何區別。通過調用
GetWindowText和GetDlgItemText函數,或者向該密碼編輯框窗口發送WM_GETTEXT消息,用戶很容易獲得這些輸入的密碼字
符,這可以通過Visual
Studio提供的SPY++工具來驗證。如果用戶為了圖省事,讓系統記住這些密碼,免去每次登錄時密碼輸入,這將會使他們陷入更加危險的境地,因為現在
有許多類似于Reveal的小程序,可以獲得鼠標所指之處的密碼,它們基本上都是通過向密碼編輯框發送WM_GETTEXT消息實現的。即便不讓系統保存
密碼,用戶也不能大意,因為就在你輸入程序的背后,可能隱藏著
這么一個惡意的程序,它會記錄你輸入的任何字符,并神不知鬼不覺地把它記錄到一個文件中。
這樣的程序一般都是通過鉤子函數或者
API
HOOK實現的。因為用戶輸入完密碼之后,還要提交給應用程序來驗證,并以此確定他們是否為合法用戶。這時候,應用程序往往會調用上述函數或者發送
WM_GETTEXT消息,獲得用戶輸入的密碼文本。如果有這么一個程序,能夠截獲這些API函數調用或者截獲這些窗口消息,那么它就會在密碼到達應用程
序之前先期截獲這些密碼。
這些程序一般都會在系統啟動時,自動運行,然后安裝系統鉤子,截獲GetWindowText或
GetDlgItemText函數,或者截獲Windows消息(如WM_DESTROY),并向密碼及其兄弟窗口發送WM_GETTEXT消息,即可獲
得包括用戶名在內的全部文本,保存到文件之后,然后把控制權交給系統。這樣的程序一般都有
局限性,因為它必須開機自動運行后,才會起作用,因此通過修改注冊編輯表,很容易發現它們的蹤跡,并把它們清除到系統之外。而且在安全模式下,這些程序除
非你主動運行它,否則它永遠不會被激活。
注意這里的運行并非一定要你用鼠標去雙擊一個應用程序,如果你雙擊的文件是一個TXT文本文件(或者BMP、HTML等文件),而這些文件默認打開程序已
被修改為黑客程序,這種情況下數據文件成了導火索,它們同樣也會激活黑客程序。
還有一種程序是以DLL形式寄生在可執行文件之上
(譬如記事本Notepad、畫筆Mspaint)_),這往往需要一個安裝程序,負責修改可執行文件,使得可執行文件運行時能夠自動加載這些(木馬程
序)動態鏈接庫,刪除這些動態鏈接庫,則會導致可執行文件無法運行。這種情況下,除非你重新安裝應用程序, 否則你無法甩掉跟在你程序背后的鬼影。
三、具體實現
1.動態鏈接庫的注入
動
態鏈接庫是WIN32系統的一個重要組成部分,它能夠動態地裝入到進程的地址空間,
動態鏈接庫一旦注入到應用程序的進程空間,就會成為應用程序的運行中的一部分,和應用程序代碼一起運行。由于有些進程壓根就沒有用到某些動態鏈接庫,包括
它的輸出數據和輸出函數。可以說這些應用程序和動態鏈接庫之間沒有任何“血緣關系”,應用程序也從來不會去主動地加載這些動態鏈接庫,因此,我們必須編寫
代碼實現DLL庫的注入。把動態鏈接庫注入到另外一個進程。最經典的做法是,在DLL中安裝一個鉤子函數,這樣系統會幫我們把它注入到每一個受該鉤子函數
影響的進程之中。
鉤子函數的安裝往往需要一個安裝程序,負責調用SetWindowsHookEx函數,然而如果我們每次使用鉤子
函數時都運行安裝程序,那將是非常麻煩,對于一個木馬程序來說,很容易暴露自己,因此我們希望我們的動態連接庫能夠寄生在一個可執行文件之上,一旦這個應
用程序執行時,它就會在進程初始化階段(DLL_PROCESS_ATTACH),安裝鉤子函數,這樣應用程序甚至系統的窗口消息都會處于鉤子函數的監控
之下,鉤子函數的鉤子過程會負責截獲有用的消息,并作相應的處理。 微軟公司提供的Detours工具包(
http://www.research.microsoft.com/sn/detours),
剛好能夠滿足我們這個要求。Detours除了提供了一組API攔截的函數之外,還提供了一組函數能夠很容易地實現DLL的注入,利用這組函數,我們既可
以創建一個注入了DLL的新進程,也可以把DLL注入到一個已經運行的進程,更重要的是,它還能夠修改應用程序的文件頭,在文件頭中加入DLL的信息,這
樣應用程序修改后不用任何干預,它自身就能負責完成動態鏈接庫的加載。
2.Detours注入動態鏈接庫
我
們知道win32應用程序都采用win 32二進制PE格式存儲,PE是一個COFF擴展(Common Object File
Format)。一個win32二進制文件是由下面幾部分組成的,一個DOS 兼容頭、一個PE頭、
一個包含程序代碼的文本段、一個包含初始化數據的數據段、一個列舉引用DLL
和函數名的引入表、一個列舉代碼和輸出符號的輸出表,除了兩個頭結構之外,其余部分都是可選的,在某些win32文件中可能某些部分不存在。
為
了修改win 32 二進制代碼,Detours
又在輸出表和調試符號部分中間創建了一個新的.Detours段(如上圖所示)(注:調試符號部分必須位于win32
二進值文件的最后),這個新的.Detours段包含了一個Detours頭記錄和一個原來PE頭的副本。如果要修改輸入表的話,Detours就會創建
一個新的輸入表,并把它添加到復制的PE
頭中,然后修改原始的PE頭結構,使其指向新的輸入表。最后,Detours把用戶的Payloads(負載)追加到.
Detours段的尾部,然后在文件尾部添加調試符號信息。由于Detours備份了原始的PE頭,所以這個過程完全可逆,以便能夠去除.Detours
段,恢復exe文件到未注入前的樣子。
創建一個新的輸入表有兩個目的,一個目的是它能夠保存原來的輸入表,以便需要時恢復對原來文件的修改;另一個目的是,新的輸入表可以包含重命名的動態連接庫和函數,還可以包含新的動態連接庫和函數.
Detours
既提供了一組編輯輸入表,添加、枚舉、去除Payloads(負載),再綁定二進制的函數,也提供了一組枚舉映射地址空間的二進制文件、定位映射文件
Payloads(負載)的函數。每一個Payload(負載)均由一個GUID (a 128- bit globally unque
identifier全球唯一標識符)標識。
這些函數的使用讀者可以參考Detours提供的例子程序SetDll.cpp文件。
3.消息攔截
一
旦動態鏈接庫注入到應用程序后,它就會在進程初始化階段完成鉤子函數的安裝,這里我們安裝了兩種鉤子類型,WH_GETMESSAGE和
WH_CALLWNDPROC,鉤子函數的處理過程主要對WM_SETFOCUS和WM_DESTROY消息進行攔截,對前一個消息,先通過獲得其類名
(GetClassName函數)和窗口風格(GetWindowLong函數),判斷它是否是一個密碼編輯框(注意VisualC++、Delphi、
Visual
Basic編輯框的類名都不一樣)。如果是,則把它本身窗口及其兄弟窗口、父窗口的窗口句柄保存到一個數組中,一旦系統向窗口WM_DESTROY消息
時,消息被鉤子函數截獲,鉤子處理過程會向保存到數組中的每一個窗口句柄發送WM_GETTEXT,獲得對話框標題或各個編輯框的文本。
四、程序的使用
本
程序是在Windows 2000環境下用Visual C++
6.0調試通過的,在Windows98環境下也可以運行。使用時,先運行DllPatch.Exe程序,然后瀏覽到有密碼的應用程序,確認后,
DllPath程序會給目標應用程序創建一個備份文件,然后修改應用程序,并把InetPub.Dll文件拷貝到目標應用程序目錄和Windows系統目
錄。這時你可以利用View Dependency
工具打開應用程序文件,你會發現它里面又多引用了一個名叫InetPub.Dll的動態鏈接庫.密碼截獲后,木馬程序會把密碼文件存放在臨時文件目錄下的
一個擴展名為tmp的文件中,為了便于說明,該文件的內容沒有加密,同時Windows系統目錄的Kernel32.ini文件也保存了有關密碼的一些信
息。真正的黑客程序可能就不會這么做,因為這很容易暴露自己,而且它還會修改InetPub.dll文件的日期與應用程序一致。也許你會說,我馬上更改密
碼,你截獲的密碼照樣進不去,殊不知就在你更改密碼的同時,更改后的新密碼也被記錄下來。
通過這個程序,我們可以看到僅僅依靠密碼來保證系統的安全是遠遠不夠的。
點擊這里下載
源程序和
演示程序。
DETOURS 下載地址:
http://www.research.microsoft.com/sn/detours http://research.microsoft.com/sn/detours