隱藏程序命令列引數,例如輸入密碼等高危操作
阿新 • • 發佈:2021-01-23
[toc]
## 前言
> 啟動程式很多時候用命令列引數可以很方便,做到簡化一些配置,但是輸入使用者名稱密碼等操作,如果通過程序檢視工具直接看到密碼就太不安全了。
> 因此很有必要研究如何隱藏命令列引數中的某些欄位,當然做成配置檔案也是極好的,但是無疑給執行程式增加額外操作。編輯儲存配置檔案也會費點事。
> 我結合網上找到的一些方案,以及自己總結一個方案,記下筆記。
## 複寫argv引數
> 該方案只在Linux下的C語言中驗證成功,因為window下都是win32api獲取命令列引數,但是沒有設定這個,估計window不支援這種騷操作吧。
> 該方案就是在執行程式時將argv內容修改,如下原始碼,僅供參考。
```c
#include
#include
#include
int main(int argc,char *argv[]) {
int i,j;
for (i=1;i=0;j--) {
argv[i][j] = 'x';
}
}
getchar();
return 0;
}
```
> 如下圖所示,命令列引數已經隱藏了。正常程式,可以將argv複製到記憶體變數,然後立即複寫argv,此時既可以正常使用命令列引數,也可以隱藏引數。
## 獲取標準輸入
> 看到C語言隱藏引數如此簡單,但是我在window下驗證C語言失敗了,執行`wmic process where caption="a.exe" get caption,commandline /value`或者命令列引數仍然能看到。
> 因此我想到了通過讀取標準輸入來獲取程式傳遞引數,但是需要在執行程式後敲鍵盤輸入引數,不過使用echo可以完美解決該問題。
> 鑑於C語言已經很久沒使用了,還是用go語言來寫例項程式吧。順便提一句go獲取命令列引數原始碼,我看了也是沒辦法修改值的,包括window和Linux。
> 如下所示,使用go的flag庫獲取標準輸入的一行內容,用於解析命令列引數,原始碼如下所示:
```go
package main
import (
"bufio"
"flag"
"fmt"
"os"
"strings"
"time"
)
func main() {
fs := flag.NewFlagSet(os.Args[0], flag.ExitOnError)
s := fs.String("s", "", "string")
i := fs.Int("i", 123, "int")
argv, _ := bufio.NewReader(os.Stdin).ReadString('\n')
fs.Parse(strings.Fields(argv))
fmt.Println(*s, *i)
time.Sleep(time.Minute)
}
```
> 在Linux下測試:
> 在window下測試:
## 總結
> 安全執行程式,隱藏命令列引數在某些場景下還是很重要的,因此研究了一下,發現也沒想象中那麼困難。
> 需要注意的是,對於會記錄命令列歷史的Linux,使用echo還是不太安全的。但是也可以在執行程式後輸入命令列引數,就是麻煩些。
> 總之最安全的還是做一個密碼檔案,通過讀取密碼檔案,只要別人沒有該密碼檔案就不行,或者給密碼檔案加密。
> 加密和破解總是相對的,沒有絕對安全的方案,只有相對安全的