一、功能介绍
　　Windows密码防盗大师是用于win系统密码防盗的专业软件。可以在各种密码输入场合保护用户的密码安全。特别适用于：网络游戏(传奇2/3、传奇世界、奇迹、大话、泡泡堂等各类网游)、QQ、ICQ、MSN、UC、网易泡泡等。
　　二、功能实现
　　跟据盗号程序的盗号方法不同，Windows密码防盗大师分别采取不同的对应方案，以保证绝对查杀及减少误报。
　　1、对于不同类型盗号程序应付方案：
　　本文中将盗号程序按"形态"分为三种：
　　1>键盘记录型
　　这种是最早期出现的盗号程序,通过使用简单的API或是HOOK(非API HOOK),记录用户按键实现的盗号程序。典型代表软件是"keyborad ghost"。这种类型的盗号软件缺点非常多：记录结果混乱，无法记录Ctrl+V(粘贴方式)输入的密码、无法记录软键盘输入的密码、无法正确记录输入顺序打乱的密码。介于此,目前这种最古老的盗号软件已基本绝迹.又经过对一些程序员,及在论坛发贴调查表明,未来出现在这种盗软件的机率是0.00%。因此，为了防止软件误报，本程序使用进程分析检测这类程序。(注：不少常用正常软件采有这种技术用于其它用途，例如：QQ自动改变在线状态就是采用这种技术)。
　　2>API函数型
　　这种软件使用GetWindowsText等系统API函数直接取得目标密码框内用户输入好的密码。目前常见的盗号程序都是采用的该技术(占98%以上)。这类盗号程序只有一个可执行文件构成，易于与其它软件捆定，流通性很好，因而被广泛使用。Windows密码防盗大师主要对这种软件进行查杀，可保证误报率0%，并100%查杀已知、未知的所有盗号程序。
　　3>钩子型
　　这类软件与2>在盗号原理上相同。但另外的使用了HOOK技术或远程注入技术(winNT/2000/XP系统中)。软件会付代一个DLL文件，主程序将该DLL强行注入其它进程，由DLL进行盗号活动。对于被注入DLL的进程来说，这种模式下，非法注入的DLL的盗号程序的盗号行为是完全"合法"的或是被"嫁接"在其它程序中的。因此这种盗号程序分析比较困难，同类软件由于对此处理不当，造成大量误报（例：XXX密码防盗专家，目前市面上流行的唯一同类软件，对QQHook.dll、MFC42D.dll等都误报为木马）。对于这种情况，Windows密码防盗大师提供了另一种解决方案：进程分析功能，根据盗号程序常见API特征(专业的杀毒软件采用该技术分析未知病毒/木马)静态分析指定进程的所有DLL。这样就不会出现用户使用时不时弹出警告盗号程序，却是误报的情况。由于这类盗号程序付带了DLL，对盗号程序来说，这是致命伤。不易传播,故并不多见，约1%。
　　2、软件构成
　　Windows密码防盗大师使用VB、VC混合编程开发。VB实现程序界面部分，负责用户互交、系统进程枚举、接收处理DLL返回的数据等。VC实现盗号程序检测和进程模块分析部分，具体分别有两个DLL实现。介于技术保密的考虑，在此不作详细介绍。
　　3、软件测试结果
　　Windows密码防盗大师在Windows2000下开发完成。
　　在Windows98 SE Windows2000 个人版/服务器版 WindowsXP下测试通过。
　　经测试可准确检测:
　　传奇黑眼睛:c:windowsTaskmon32.exe
　　传奇叛逆:c:windowssysteminternet.exe
　　传奇终结者:c:windowsscanrew.exe
　　传奇密码使者:c:windowssystemcleanmgl.exe、　c:windowssystemsticpl.exe
　　传奇猎手:c:windowssystemwinsys.exe
　　传奇幽灵:c:windowsinternet.exe
　　传奇天使:c:windowskiss.exe
　　QQ密码使者:c:winntsystem32IExplore..exe
　　密码使者2004:c:winntsystemrundll32.exe