Windows密码防盗大师是用于win系统密码防盗的专业软件。可以在各种密码输入场合保护用户的密码安全。特别适用于:网络游戏(传奇2/3、传奇世界、奇迹、大话、泡泡堂等各类网游)、QQ、ICQ、MSN、UC、网易泡泡等。
二、功能实现
跟据盗号程序的盗号方法不同,Windows密码防盗大师分别采取不同的对应方案,以保证绝对查杀及减少误报。
1、对于不同类型盗号程序应付方案:
本文中将盗号程序按"形态"分为三种:
1>键盘记录型
这种是最早期出现的盗号程序,通过使用简单的API或是HOOK(非API HOOK),记录用户按键实现的盗号程序。典型代表软件是"keyborad ghost"。这种类型的盗号软件缺点非常多:记录结果混乱,无法记录Ctrl+V(粘贴方式)输入的密码、无法记录软键盘输入的密码、无法正确记录输入顺序打乱的密码。介于此,目前这种最古老的盗号软件已基本绝迹.又经过对一些程序员,及在论坛发贴调查表明,未来出现在这种盗软件的机率是0.00%。因此,为了防止软件误报,本程序使用进程分析检测这类程序。(注:不少常用正常软件采有这种技术用于其它用途,例如:QQ自动改变在线状态就是采用这种技术)。
2>API函数型
这种软件使用GetWindowsText等系统API函数直接取得目标密码框内用户输入好的密码。目前常见的盗号程序都是采用的该技术(占98%以上)。这类盗号程序只有一个可执行文件构成,易于与其它软件捆定,流通性很好,因而被广泛使用。Windows密码防盗大师主要对这种软件进行查杀,可保证误报率0%,并100%查杀已知、未知的所有盗号程序。
3>钩子型
这类软件与2>在盗号原理上相同。但另外的使用了HOOK技术或远程注入技术(winNT/2000/XP系统中)。软件会付代一个DLL文件,主程序将该DLL强行注入其它进程,由DLL进行盗号活动。对于被注入DLL的进程来说,这种模式下,非法注入的DLL的盗号程序的盗号行为是完全"合法"的或是被"嫁接"在其它程序中的。因此这种盗号程序分析比较困难,同类软件由于对此处理不当,造成大量误报(例:XXX密码防盗专家,目前市面上流行的唯一同类软件,对QQHook.dll、MFC42D.dll等都误报为木马)。对于这种情况,Windows密码防盗大师提供了另一种解决方案:进程分析功能,根据盗号程序常见API特征(专业的杀毒软件采用该技术分析未知病毒/木马)静态分析指定进程的所有DLL。这样就不会出现用户使用时不时弹出警告盗号程序,却是误报的情况。由于这类盗号程序付带了DLL,对盗号程序来说,这是致命伤。不易传播,故并不多见,约1%。
2、软件构成
Windows密码防盗大师使用VB、VC混合编程开发。VB实现程序界面部分,负责用户互交、系统进程枚举、接收处理DLL返回的数据等。VC实现盗号程序检测和进程模块分析部分,具体分别有两个DLL实现。介于技术保密的考虑,在此不作详细介绍。
3、软件测试结果
Windows密码防盗大师在Windows2000下开发完成。
在Windows98 SE Windows2000 个人版/服务器版 WindowsXP下测试通过。
经测试可准确检测:
传奇黑眼睛:c:windowsTaskmon32.exe
传奇叛逆:c:windowssysteminternet.exe
传奇终结者:c:windowsscanrew.exe
传奇密码使者:c:windowssystemcleanmgl.exe、 c:windowssystemsticpl.exe
传奇猎手:c:windowssystemwinsys.exe
传奇幽灵:c:windowsinternet.exe
传奇天使:c:windowskiss.exe
QQ密码使者:c:winntsystem32IExplore..exe
密码使者2004:c:winntsystemrundll32.exe