Keylogger 应用程序能否看到通过 SendMessage() 发送的消息？

Question

我正在创建一个 c# 应用程序以使用 SendMessage() 函数在记事本中发送消息。我已成功将字符串传递给记事本。字符串非常重要，我想知道键盘记录​​程序是否可以看到此消息？

如果是，您对如何安全地发送字符串还有其他想法吗？

下面是我使用的示例代码。

    [DllImport("user32.dll", EntryPoint = "FindWindowEx")]
    public static extern IntPtr FindWindowEx(IntPtr hwndParent, IntPtr hwndChildAfter, string   lpszClass, string lpszWindow);

    [DllImport("User32.dll")]
    public static extern int SendMessage(IntPtr hWnd, int uMsg, int wParam, string lParam);


    Process[] notepads = Process.GetProcessesByName("notepad");
    if (notepads.Length == 0) return;
    if (notepads[0] != null)
    {
        IntPtr child = FindWindowEx(notepads[0].MainWindowHandle, new IntPtr(0), "Edit", null);
        SendMessage(child, 0x000C, 0, TextBox1.Text);
    }

Answer 1

你所做的并不安全；任何人都可以通过多种方式监视SendMessage 电话。

SetWindowsHookEx 与 WH_CALLWNDPROC 或 WH_CALLWNDPROCRET 将让攻击者监视发送到给定线程的所有消息，或者他们可以监视整个系统中的所有消息并过滤掉那些发往 SendMessage 目标的消息.

或者，攻击者可以将自己注入您的接收进程，使用WriteProcessMemory 将DLL 名称写入接收进程，然后CreateRemoteThread 和LoadLibrary 将DLL 加载到目标进程。在那之后，监控进程的消息应该是相当简单的。

为避免使用 DLL，攻击者还可以使用WriteProcessMemory 将代码直接写入目标进程的内存空间，然后使用CreateRemoteThread 调用它。

所有这三种监控方法都记录在in this CodeProject article。诚然，它有点老了，但方法应该仍然是相关的，尤其是 SetWindowsHookEx 。

攻击者也可以hook various Windows APIs directly;这很困难且有些风险，但根据您数据的敏感性，攻击者可能会发现这是一种值得的方法。

老实说，试图保护您的数据将非常困难。您可以查看KeePass 如何保证密码安全；它有一个设置（至少在 1.x 分支中；KeePass 2.x 是一个完全不同的应用程序）“只允许粘贴一次并防止剪贴板间谍”，这可能对您有一些好处。从 KeePass 获得另一个提示，您还可以查看 Windows 的 Data Protection API。

作为旁注，您可能需要替换

SendMessage(child, 0x000C, 0, TextBox1.Text);

与

SendMessage(child, WM_SETTEXT, 0, TextBox1.Text);

为了可读性。没有多少人会单独识别 0x000C，尽管可以根据上下文猜测消息是什么。