接觸到一款叫bullet的查看星號密碼的工具,可以記錄下在密碼輸入框裡輸入過的密碼信息並轉換為明文查看,
找了幾個需要登陸的網頁和軟件做了一些實驗,有些成功了,捕捉到而且記錄了星號密碼是什麼,有些想qq這種可以捕捉到有輸入密碼的行為,但是看不出密碼是什麼,有些根本捕捉不到。
所以非常想問一問為什麼會有不同,不同之處在哪裡。這種密碼框輸入後的傳輸的機制是什麼。這種星號密碼查看器又是根據什麼漏洞來實現這種功能的呢?
密碼框是一個Windows的一個子窗口,顯示星號是因為密碼框設置了EM_SETPASSWORDCHAR屬性,只要我們把密碼框的EM_SETPASSWORDCHAR屬性給去掉那麼密碼就會以明文顯示了,我們可以給程序發送消息去掉EM_SETPASSWORDCHAR屬性。通過安裝鼠標鉤子監視鼠標動作,如果用戶單擊的是密碼框那麼就發送一個去除密碼屬性的消息。而捕捉不到是因為已經對這種事件進行了處理,阻止了或更改了這種行為
