專利名稱:一種基于Windows內(nèi)核的反鍵盤記錄技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明設(shè)計一種基于Windows內(nèi)核的反鍵盤記錄技術(shù)�����,主要應(yīng)用于信息安全領(lǐng)域����,保護用戶網(wǎng)上沖浪時的賬戶密碼安全�。
背景技術(shù):
隨著互聯(lián)網(wǎng)的普及,人們在互聯(lián)網(wǎng)上的活動涉及到生活中的各個領(lǐng)域��。每個網(wǎng)絡(luò)用戶都有一個或多個賬號密碼��,通過賬號密碼用戶可以完成各種跟生活息息相關(guān)的業(yè)務(wù)辦理��。因此賬戶密碼成為很多不法份子盜取的對象�,并愈演愈烈。為了提高密碼的安全性�,各大網(wǎng)絡(luò)服務(wù)提供商均提供了自身的密碼保護技術(shù)。反鍵盤記錄技術(shù)正是在用戶密碼不斷受到威脅的情況下產(chǎn)生的�。它主要是保證賬戶密碼從輸入到服務(wù)器端驗證整個過程的安全性。主要有以下幾種技術(shù)一.截獲鍵盤輸入后�����,對輸入信息進行加密傳輸��;二 .改變原有鍵盤輸入的傳輸流程�,自己建立傳輸機制; 三.進行實時監(jiān)控�,一旦發(fā)現(xiàn)可疑進程,提示用戶并查殺病毒�。反鍵盤記錄技術(shù)最早是由各大殺毒軟件提供。殺毒軟件[3]主要是為整機提供一個安全防護��,當殺毒軟件的實時監(jiān)控系統(tǒng)��,發(fā)現(xiàn)本機的某個進程存在惡意特征行為�����,將提醒用戶存在可疑進程����,并在用戶授權(quán)情況下查殺病毒,從而為用戶密碼提供了一定程度的保護���。后來��,隨著越來越多的公司均提供網(wǎng)上業(yè)務(wù)辦理���,針對不同的密碼登陸機制���,出現(xiàn)了很多針對某一軟件的專業(yè)黑客盜號軟件。這類軟件由于技術(shù)針對性強����,可以躲過殺毒軟件的查殺,而且盜號效率高���,危害性也更大��。針對這種情況�,有實力的網(wǎng)絡(luò)服務(wù)提供商紛紛在自己的登陸系統(tǒng)中提供自己的反鍵盤記錄技術(shù)�����。比較基礎(chǔ)的一種反鍵盤記錄技術(shù)是在獲得用戶輸入信息后�����,對信息進行加密傳輸���,在服務(wù)器端解密后再驗證�。這樣即使存在鍵盤記錄軟件��,獲得的也是無價值的密文。剛開始各大銀行提供的網(wǎng)銀服務(wù)就是用的這種技術(shù)�,而且現(xiàn)在網(wǎng)銀的反鍵盤記錄技術(shù)也是在此基礎(chǔ)上改進的�。另一種技術(shù)要比上面那種復雜點,也更安全���。它主要是在底層獲得鍵盤輸入后�,直接改變原有鍵盤信息的傳輸流程��,通過自己的傳輸機制直接發(fā)送到應(yīng)用層��。如QQ 使用的NP (NProtect)技術(shù)��。NP技術(shù)是韓國人設(shè)計的一種較先進的反鍵盤記錄技術(shù)���,但隨著人們對該技術(shù)的深入研究���,已經(jīng)產(chǎn)生了破解QQ密碼保護機制的方案。本發(fā)明中設(shè)計的反鍵盤記錄技術(shù)基于Windows內(nèi)核數(shù)據(jù)結(jié)構(gòu)�,采用驅(qū)動層和應(yīng)用層相結(jié)合的方式,從根本上屏蔽木馬對賬戶密碼的記錄�,且做到整個保護過程對系統(tǒng)透明,兼容性好�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題針對用戶網(wǎng)絡(luò)服務(wù)的賬戶密碼頻繁被盜問題��,在 Windows平臺上設(shè)計出一種更安全的賬戶密碼保護技術(shù)����。該技術(shù)基于Windows內(nèi)核數(shù)據(jù)結(jié)構(gòu)���,重點是通過修改內(nèi)核數(shù)據(jù)��,使得鍵盤信息在傳輸過程中不流經(jīng)惡意軟件注冊的模塊�����,從而保護用戶賬戶密碼��。針對Windows平臺特點����,分析了鍵盤信息從產(chǎn)生到被傳入登錄窗口的整個傳輸流程�����,并通過內(nèi)核調(diào)試技術(shù)得出鍵盤驅(qū)動設(shè)備鏈和Windows消息鉤子鏈的數(shù)據(jù)結(jié)構(gòu)�����,在此基礎(chǔ)上,進一步設(shè)計和實現(xiàn)通用的反鍵盤記錄技術(shù)����。本發(fā)明采用如下的技術(shù)方案一種基于Windows內(nèi)核的反鍵盤記錄技術(shù),包括下列步驟步驟一截獲用戶的鍵盤輸入�����,如果鍵盤信息是標識的啟動鍵����,則啟動反鍵盤記錄模塊���;步驟二反鍵盤記錄模塊成功啟動后��,會掛起除系統(tǒng)進程和本次登錄相關(guān)進程以外的所有進程�;步驟三反鍵盤記錄技術(shù)會根據(jù)Windows鍵盤驅(qū)動設(shè)備鏈結(jié)構(gòu)�,摘除與本次登錄不相關(guān)的鍵盤過濾設(shè)備,并將被摘除的鍵盤過濾設(shè)備信息保存��;步驟四反鍵盤記錄技術(shù)會根據(jù)Windows消息鉤子鏈內(nèi)核數(shù)據(jù)結(jié)構(gòu)��,摘除與登錄進程不相關(guān)的消息鉤子,并將被摘除的消息鉤子信息保存�����;步驟五賬戶密碼輸入完成后���,用戶利用快捷鍵退出保護�����。反鍵盤記錄技術(shù)會將保存的鍵盤過濾設(shè)備信息���、消息鉤子信息恢復。本發(fā)明是一種基于Windows內(nèi)核的反鍵盤記錄技術(shù)����,具有下列優(yōu)點第一,通用性�����。本發(fā)明的賬戶密碼保護技術(shù)可以適應(yīng)Windows平臺上的任何登錄接口���,因此���,該賬戶密碼保護模塊擁有較好的通用性����;第二��,透明性��。用戶登錄結(jié)束后��,內(nèi)核數(shù)據(jù)恢復模塊會將摘除的內(nèi)核信息恢復����,使得整個保護過程對系統(tǒng)透明�;第三,穩(wěn)定性���。用戶輸入賬戶密碼前���,內(nèi)核數(shù)據(jù)摘除模塊會將摘除的鍵盤驅(qū)動過濾設(shè)備信息、 Windows消息鉤子信息保存��;用戶登錄完成后����,內(nèi)核數(shù)據(jù)恢復模塊會將摘除的所有信息恢復�。使得登錄前后系統(tǒng)內(nèi)核數(shù)據(jù)結(jié)構(gòu)前后一致�����。因而�����,也表現(xiàn)出較好的穩(wěn)定性���;第四����,高效性����。本發(fā)明的賬戶密碼保護技術(shù)基于Windows內(nèi)核數(shù)據(jù)結(jié)構(gòu),采用驅(qū)動層和應(yīng)用層相結(jié)合的方式����,徹底解決了鍵盤過濾驅(qū)動和Windows消息鉤子對用戶賬戶密碼的記錄,具有高效性���。
圖1是本發(fā)明中賬戶密碼啟動模塊的示意2是本發(fā)明中摘除內(nèi)核數(shù)據(jù)模塊的示意3是本發(fā)明中恢復內(nèi)核數(shù)據(jù)模塊的示意4是本發(fā)明基本架構(gòu)原理的示意圖
具體實施例方式為使本發(fā)明的目的���、實現(xiàn)方案和優(yōu)點更為清晰����,下面對本發(fā)明作進一步的詳細描述��。其中步驟一具體按照如下方式執(zhí)行
主程序啟動后����,創(chuàng)建自己的鍵盤驅(qū)動過濾設(shè)備并掛接在鍵盤設(shè)備鏈堆棧上。如果捕獲的用戶按鍵信息為標識的快捷鍵(當用戶啟動登錄界面�,在輸入賬戶密碼前會以快捷鍵的方式啟動賬戶密碼保護模塊),則按步驟二進行操作��。所述步驟二的具體操作為主程序會有一張白名單(包含系統(tǒng)運行必須的系統(tǒng)進程列表)�����。主程序會枚舉當前系統(tǒng)所有進程�,將不在白名單列表中和不是當前主窗口進程的所有進程全部掛起(因為木馬總是在后臺運行)��。再按照步驟三�����、四進行摘除內(nèi)核數(shù)據(jù)操作。所述步驟三的詳細執(zhí)行方式為第一�����,獲取當前系統(tǒng)的鍵盤驅(qū)動對象指針�����,枚舉系統(tǒng)的鍵盤驅(qū)動設(shè)備����。包括USB鍵盤驅(qū)動設(shè)備和PS/2鍵盤驅(qū)動設(shè)備;第二���,針對枚舉到的每種鍵盤驅(qū)動設(shè)備�����,再深度枚舉對應(yīng)設(shè)備堆棧上的鍵盤過濾驅(qū)動設(shè)備鏈��。對每個鍵盤過濾驅(qū)動設(shè)備檢測是否是當前登錄窗口進程安裝��。如果不是�����,摘除該鍵盤過濾驅(qū)動設(shè)備�,將其位置信息一同保存;如果是���,不做處理��。步驟四的Windows消息鉤子摘除模塊與步驟三的操作原理基本相同��,只是操作的內(nèi)核數(shù)據(jù)對象是Windows消息鉤子鏈第一�,記錄當前登錄窗口按鍵信息的Windows消息鉤子鏈�����,保存在登錄窗口進程的所有線程內(nèi)核數(shù)據(jù)結(jié)構(gòu)中���。因此先枚舉登錄窗口進程的所有線程����;第二�,對每個線程內(nèi)核數(shù)據(jù)結(jié)構(gòu)�,通過硬編碼的方式(因微軟未公開該結(jié)構(gòu))獲取消息鉤子所在數(shù)組�����。該數(shù)組中的每個元素是Windows某種消息鉤子鏈的頭指針����;第三���,根據(jù)獲得的消息鉤子鏈頭指針��,遍歷該種消息鉤子鏈上的每個消息鉤子信息����。如果安裝該鉤子信息的進程不是登錄窗口進程���,將該鉤子信息及位置保存���;如果是,不錯處理��。步驟五的內(nèi)核數(shù)據(jù)恢復模塊是將步驟三�、四摘除的內(nèi)核數(shù)據(jù)恢復,并將步驟二掛起的進程恢復執(zhí)行第一�,針對步驟三摘除的鍵盤過濾驅(qū)動消息鉤子信息����,步驟四摘除的Windows消息鉤子信息����,根據(jù)保存的信息,將對應(yīng)的鍵盤過濾驅(qū)動設(shè)備鏈�、Windows消息鉤子鏈恢復成原貌;第二��,根據(jù)保存的被掛起進程上下文�,恢復所有進程至被掛起前狀態(tài)。 以上所述僅為本發(fā)明的較佳實施例��,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換和改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種基于Windows內(nèi)核的反鍵盤記錄技術(shù)����,步驟如下步驟一截獲用戶的鍵盤輸入�,如果鍵盤信息是標識的啟動鍵,則啟動反鍵盤記錄模塊���;步驟二 反鍵盤記錄模塊成功啟動后�����,會掛起除系統(tǒng)進程和本次登錄相關(guān)進程以外的所有進程��;步驟三反鍵盤記錄技術(shù)會根據(jù)Windows鍵盤驅(qū)動設(shè)備鏈結(jié)構(gòu)�,摘除與本次登錄不相關(guān)的鍵盤過濾設(shè)備���,并將被摘除的鍵盤過濾設(shè)備信息保存����;步驟四反鍵盤記錄技術(shù)會根據(jù)Windows消息鉤子鏈內(nèi)核數(shù)據(jù)結(jié)構(gòu)���,摘除與登錄進程不相關(guān)的消息鉤子�����,并將被摘除的消息鉤子信息保存�;步驟五賬戶密碼輸入完成后,用戶利用快捷鍵退出保護����。反鍵盤記錄技術(shù)會將保存的鍵盤過濾設(shè)備信息、消息鉤子信息恢復����。
2.根據(jù)權(quán)利要求1中所述的基于Windows內(nèi)核的反鍵盤記錄技術(shù),其特征在于�,所述步驟一中主程序時刻監(jiān)視鍵盤輸入,用戶在輸入賬戶密碼前�,利用快捷鍵啟動反鍵盤記錄模塊。
3.根據(jù)權(quán)利要求1中所述的基于Windows內(nèi)核的反鍵盤記錄技術(shù)�����,其特征在于����,所述步驟二中掛起與本次登錄不相關(guān)的進程,防止木馬在步驟三�、步驟四后����,再次創(chuàng)建記錄賬戶密碼數(shù)據(jù)結(jié)構(gòu)����。
4.根據(jù)權(quán)利要求1中所述的基于Windows內(nèi)核的反鍵盤記錄技術(shù)����,其特征在于,在步驟三中提出的摘除鍵盤驅(qū)動設(shè)備鏈模塊具有如下優(yōu)點第一�,提出了一種將鍵盤過濾驅(qū)動設(shè)備鏈上與登錄進程不相干的設(shè)備鏈摘除的思想, 與傳統(tǒng)的通過創(chuàng)建鍵盤過濾驅(qū)動截獲鍵盤信息并保護的方式有本質(zhì)的區(qū)別�����;第二����,該模塊對鍵盤信息本身無需采取任何保護措施(如加密、創(chuàng)建獨立傳輸通道)��, 從根本上解決了鍵盤過濾驅(qū)動對鍵盤信息的截獲����,較通用����。
5.根據(jù)權(quán)利要求1中所述的基于Windows內(nèi)核的反鍵盤記錄技術(shù)�����,其特征在于����,在步驟四中針對Windows消息鉤子提出了一種高效的內(nèi)核防護模塊,它具有如下優(yōu)點第一��,該模塊從內(nèi)核層分析Windows消息鉤子截獲按鍵信息原理����,比一般的利用消息鉤子本身保護按鍵信息要簡單、高效���;第二�,分析出Windows消息鉤子內(nèi)核原理后�����,根據(jù)消息鉤子內(nèi)核鏈式數(shù)據(jù)結(jié)構(gòu)����,將不可疑消息鉤子從鏈表上摘除��;第三����,當鍵盤信息流經(jīng)處理過的消息鉤子鏈時�,所有木馬軟件將無法截獲鍵盤信息��;第四�,該模塊從本質(zhì)上解決了,Windows消息鉤子技術(shù)對鍵盤信息的記錄�����,具有通用性���。
6.根據(jù)權(quán)利要求1中所述的基于Windows內(nèi)核的反鍵盤記錄技術(shù)���,其特征在于,在步驟五中提出的用戶登錄結(jié)束后�,對摘除的內(nèi)核數(shù)據(jù)結(jié)構(gòu)的回復。從而使整個保護過程對系統(tǒng)內(nèi)核透明����,沒有任何第三方軟件兼容問題����。
全文摘要
本發(fā)明涉及一個基于Windows內(nèi)核的反鍵盤記錄技術(shù)�,該技術(shù)的執(zhí)行過程可分為二階段第一階段內(nèi)核數(shù)據(jù)摘除。在用戶輸入賬戶密碼前���,掛起與本次登錄無關(guān)的進程�,再根據(jù)Windows平臺鍵盤過濾驅(qū)動及Windows消息鉤子記錄按鍵信息的工作原理�����,摘除木馬程序創(chuàng)建的鍵盤過濾驅(qū)動設(shè)備和Windows消息鉤子����,并將其位置保存;第二階段內(nèi)核數(shù)據(jù)恢復�。用戶登錄完成后,將被摘除的內(nèi)核數(shù)據(jù)原樣恢復�����,并執(zhí)行被掛起的進程��。該技術(shù)基于Windows按鍵信息在系統(tǒng)中的傳輸原理,通過修改內(nèi)核數(shù)據(jù)從根本上解決了惡意軟件對賬戶密碼的盜取�。在利益的驅(qū)使下,賬戶密碼成為被盜取的重要目標�����,如何保護賬戶密碼安全是一個不可回避的問題�,本發(fā)明提出的方法可以很大程度地保證用戶的上網(wǎng)安全。
文檔編號G06F3/023GK102222179SQ20101014594
公開日2011年10月19日 申請日期2010年4月13日 優(yōu)先權(quán)日2010年4月13日
發(fā)明者鄭勇 申請人:張彪, 鄭勇