打印本文 关闭窗口 |
Windows系统自动保存密码再现 |
时间:2006/7/7 12:18:24 |
|
想象一下,经常访问的论坛当然就给它设置成IE自动保存密码,这样打开收藏的链接就可以直接登录了。也正因为这样,这些论坛的账号和密码虽然我们天天使用,但印象会越来越模糊(如果你有将所有的论坛账号和密码都设置成一样的习惯,那就不容易遗忘),直到哪天重新安装系统之后就可能突然发现怎么都想不起这些密码…… Windows下几乎每一款须要输入密码的软件都提供了自动保存密码的功能,对于个人家庭用户来说,这确实是个方便快捷的形式,但也容易让我们养成经常遗忘密码的坏习惯。因此,我们在注意备份的同时还应该掌握一些显示这类系统自动保存的密码的方法。 自动保存密码的狡兔之窟 现在我们来看看一组非常常见的密码—Outlook Express、MSN Explorer账户密码和Internet Explorer的自动保存密码,它们看起来似乎是风马牛不相及,但是他们的存储原理却近乎一致(OE、MSN浏览器和IE,它们都是微软旗下的同门师兄弟嘛)。而微软为它们量身打造的狡兔之窟,就是Protected Storage。 在哪里能够找到它的踪影?“开始”→“设置”→“控制面板”→“管理工具”→“服务”,可以看到其中的Protected Storage服务,这就是我们要找的家伙。 1.微软工具自动保存密码的秘密 Protected Storage其实就是为应用程序的安全保存提供一个接口(OE、IE和MSN浏览器都继承了这个接口,所以它们的密码都是一条绳子上的蚂蚱),用通用的方法保存了以下这些非常重要的隐密信息。 Outlook Express账户密码 IE自动保存的密码 MSN Explorer浏览器登录账户密码 IE自动完成的资料(例如填表时的个人资料、Google的搜索历史) 这些隐私信息都分门别类地保存在PStore(Protected Storage)中,每一个数据个体被称为“项”,每一个“项”由标识键、型别、子型别和名称组成。标识键指定该“项”是对整个计算机有效还是仅对当前用户有效,型别和子型别都是GUID,由应用程序指定,其附加信息存储于注册表中,而名称是一个字符串,通常由用户来选择。 2.查看原理 不知道微软是出于什么样的想法,它居然对这个账户管理服务提供了PStore接口的API函数来对它进行控制。也许微软认为,能够获得并访问这些信息的都是系统管理员,因此提供接口无可厚非。但是对于我们来说,就可以通过这个函数获得所有的账户密码和自动保存信息,这可是个好消息。 于是,读出系统自动保存的密码就显得很简单了—对于会编程的人来说,可以使用PStoreCreateInstance这个函数来接收接口指针(注意,这个函数因为没有提供SDK,必须手动从Pstorec.dll载入。很多查看工具都是根据这个原理制作的,具体的代码请参考MSDN相关示例,不在本文的讨论范围内);而普通用户则可以使用一些现成的工具,例如Protected Storage PassView。 3.查看方法 PCD工具谱 软件名称: Protected Storage PassView 软件版本: 1.62 授权方式: 免费软件 软件大小: 28KB 神通广大的Protected Storage PassView只有一个可执行程序,连安装都省了,甚至不需要任何操作就可以方便地自动读取Protected Storage的各种“项”。 在软件主界面的“资源名类型”中,可以看到有“Outlook Express标识”、“自动完成密码”、“IE受保护站点”等几类,其中“Outlook Express标识”是安装Outlook Express的电脑才会有的(就算你是使用Office的Outlook组件,如果选择了自动保存密码,一样会被Protected Storage PassView揪出来)。你还可以在“查看”选项中勾选须要显示的密码类型,包括Outlook密码、自动完成密码、自动完成表单、密码保护的站点等。 星星背后的真相 前面主要摆平了微软的IE相关自动密码保存的问题,但那些常用工具该怎么办?微软OE之外的邮件客户端、FTP客户端、部分聊天工具等,只要这些软件自动保存密码后,在相关设置中查看时,密码是通过*号来显示的,我们就可以轻松查看(MSN Messenger使用了微软的Passport,目前我们别指望能轻松查到自动保存的密码;QQ也使用了特殊的本地密码保存策略,因此也无法轻松查看)。 其实,这类自动保存密码的输入框PasswordChar属性在编程时都被设置了“*”,因此我们通常无法直接看到实际内容。但是如果依靠一些第三方软件的帮助,就可以很方便地使“*”原形毕露。 所有显示的项目都可以查看网页形式的原始数据,并可以保存为文本文件或网页文件 小知识:如何清除自动保存的密码 密码自动保存功能虽然方便,但也有不小的安全隐患。特别是多人共用一台电脑的情况下,可能须要根据实际情况进行一些安全设置。 1.如果想清除某网站的自动保存密码,可以使用Protected Storage PassView:在查找到的密码条目上单击鼠标右键,选择删除即可。 2.如果须要禁止Windows的自动保存功能,可以在IE中设置:打开主菜单中的“工具”→“Internet选项”→“内容”→“自动完成”,在“自动完成设置”中取消此功能,并清除表单和清除密码。 安全和简便往往很难两全其美 3.还可以在“Internet选项”中选择“删除Cookies”,这样Protected Storage PassView也就无能为力了。 PCD工具谱 软件名称: 密码查看器 软件版本: 1.6 授权方式: 免费软件 软件大小: 1.5MB 1.直观的密码查看器 《密码查看器》的主界面非常小巧,操作起来也很简单。只要用鼠标按住软件界面上的放大镜,并拖动至*号密码输入框即可, 这里以自制的一个简单ASP页面为例为大家介绍这款软件,打开页面后在密码框中输入密码,自动显示为“********”。此时用鼠标将放大镜拖至输入框内,《密码查看器》的“密码”一栏内将会显示出密码的明文。如果出现密码查看器被其他软件界面遮盖的情况,只要将“本窗口总在最前”打上钩即可。而要想将显示出来的密码复制,以便粘贴到其他位置,则单击“复制到剪帖板”按钮。 要实现*号密码查看这种功能,在编程方面来说实现起来很简单,因此制作出来的工具应该只有几十KB就够了,但为什么这个《密码查看器》有1.5MB这么大?其实在安装软件的最后一步大家应该可以找到答案—请注意观察千万不要让“安装搜狗直通车”的前面有钩存在,否则就会出现严重的“请神容易送神难”问题^_^。 用鼠标将放大镜拖至须要查看密码的*号上,实际的密码内容就显示在软件的主界面中 安装软件时我们要改掉轻率点击下一步的坏习惯 PCD工具谱 软件名称: Asterisk Logger 软件版本: 1.02 授权方式: 免费软件 软件大小: 25KB 2.一次整理完所有的*号密码 《密码查看器》虽然方便,但不太适合重装系统前一次统计整理好各类常用软件的自动保存密码。如果你有这种需求,可以试试Asterisk Logger,它可以把找到的各种*号密码一次性保存为文本文件或者网页。 QQ怎么办 前面怎么没有QQ的自动保存密码查看方法?2005版的QQ将本地保存密码的加密工作搞得更加到位,因此目前还没有软件能够将其破解。但是我们可以通过复制文件的方法,手工将其备份。 操作的过程非常简单—将QQ的安装文件夹复制出来即可,重装系统后,再将该文件夹复制回去。如果之前设置了自动登录,那么此时仍然可以自动登录,连安装的过程都可以省略。 另外建议大家申请QQ密码保护服务,今后一旦QQ的密码出现问题,就可以到腾讯的客服中心进行密码重设(客服中心地址:http://service.qq.com/psw/mo.shtml?psw_cs.htm)。如果QQ被盗号,可以在客服中心填写“号码申诉表”并发送给腾讯。如果事情非常紧急,可以在“号码申诉表”传送给腾讯之后,及时通过客服电话(0755-83765566)要求立刻重设密码(你可以告诉客服此号码是工作用途,并提供该号码好友列表中5个人以上确认你才是该号码主人的证明)。 运行之后让那些自动保存密码的工具登录或者打开密码设置窗口,相应的密码就会显示在Asterisk Logger中。 |