用DPAPI保护你的数据

最新推荐文章于 2025-02-25 10:58:16 发布
原创 最新推荐文章于 2025-02-25 10:58:16 发布 · 368 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#null #解密 #加密 #byte #winapi #delete

DPAPI保护你的数据
我们已经知道,用Win32API函数EncryptFile和DecryptFile可以方便的加解密文件。但是,这两个函数与系统帐户联系过于紧密,能否解密完全看当前帐户是否有更高的权限,用户的数据实际上并没有得到真正的保护。下面将介绍一种更为灵活的数据保护方法。
从Win2000开始,操作系统开始提供一个名为Data Protection API (DPAPI)的数据保护接口。该接口一共有两个函数,他们提供了系统级的数据保护服务。这两个函数存在于Crypt32.dll库中,是CryptAPI的一部分,但使用起来要比其他的CryptAPI函数简单得多。
DPAPI可以实现基于口令的数据加密和解密。也就是说我们提供一个口令用于加密,而其他人只有知道这个口令才能解密。实际上,DPAPI上在后台为我们完成了相当复杂的加密解密操作,包括密钥的产生、存储、使用等。本文只想介绍一下如何使用DPAPI,这里就不讨论它的内部机制了。
 
DPAPI加密函数
BOOL WINAPI CryptProtectData (
   [IN] DATA_BLOB                  *pDataIn,          //输入数据,明文
   [IN] LPCWSTR                     szDataDescr,       //描述信息
   [IN] DATA_BLOB                  *pOptionalEntropy,   //额外的保护信息
   [IN] PVOID                        pvReserved,        //保留参数,必须为NULL
   [IN] CRYPTPROTECT_PROMPTSTRUCT   *pPromptStruct, //提示对话框结构
   [IN] DWORD                        dwFlags,          //标志位
   [OUT] DATA_BLOB                  *pDataOut          //输出数据,密文
   );
输入数据参数pDataIn是一个DATA_BLOB结构,该结构的定义如下:
typedef struct _CRYPTOAPI_BLOB {
 DWORD    cbData;      //数据的长度
 BYTE*    pbData;       //指向数据的指针
}DATA_BLOB;
参数szDataDescr是一个字串,可以是关于加密的描述信息或其他的任何信息,但不能为NULL,该信息将以明文的方式存在于最终输出的密文数据中。
参数pOptionalEntropy用于额外的密码保护,本文后面将有详细的介绍。
参数pPromptStruct用于指定一个安全提示对话框,在加密解密操作时,将弹出该对话框提示用户正在进行安全操作。如果该参数为NULL,则不会弹出对话框。这里就不在列出CRYPTPROTECT_PROMPTSTRUCT结构的详细定义,你可以查阅MSDN的相关内容。后面的程序将把该参数设置为NULL;
参数dwFlags是关于加密的一些选项标志,一般设置为0就可以了,详细的说明请参阅MSDN的相关内容;
参数pDataOut是输出数据,同样是一个DATA_BLOB结构,但应该注意的是pDataOut->pbData所指向的内存是由系统分配的,在使用完输出数据后应该用LocalFree函数释放该内存。
 
DPAPI解密函数
BOOL WINAPI CryptUnprotectData (
   [IN] DATA_BLOB                  *pDataIn,      //输入数据,密文
   [OUT] LPCWSTR                     *ppszDataDescr,     //输出描述信息
   [IN] DATA_BLOB                  *pOptionalEntropy,    //额外的保护信息
   [IN] PVOID                        pvReserved,         //保留参数,必须为NULL
   [IN] CRYPTPROTECT_PROMPTSTRUCT   *pPromptStruct, //提示对话框结构
   [IN] DWORD                        dwFlags,          //标志位
   [OUT] DATA_BLOB                  *pDataOut           //输出数据,明文
   );
解密函数的参数与加密函数的参数基本类似,唯一需要指出的是参数ppszDataDescr在这里应该被指定为一个指针变量,在解密完成后,该变量将指向加密时指定的描述信息,最后应该使用LocalFree函数释放该字串。如果你不想得到描述信息,可以将该参数设置为NULL。
DPAPI和系统帐户联系仍然十分紧密,他会自动使用当前用户的系统登录口令作为加解密的口令,这样一来同一台机器的所有程序都可以解密其他程序加密的数据。为了防止这一点,函数提供了pOptionalEntropy参数,使我们有机会使用自己的口令。如果提供了pOptionalEntropy参数,DPAPI将使用当前用户系统登录口令和我们提供的额外保护口令的组合进行加解密操作。如果你不想使用额外口令保护,则可设置该参数为NULL。
因为DPAPI使用用户帐户联系的,所以一台机器上加密的数据,一般不能在另一台机器上解密(特殊情况请参阅MSDN相关内容)。
下面的程序利用DPAPI实现了文件的加密和解密,其中Password是可选的,但如果加密时使用了Password,那么解密时就必须提供相同的Password.。
 
/********************************************************
 *DPAPI.EXE
 *Encrypt and Decrypt file
 *Wrote by WABC on 2002-5-20
 ********************************************************/
#include <windows.h>
#include <wincrypt.h>
 
DWORD MyEncryptFile(LPCSTR FileName,LPCSTR OutputFileName,LPCSTR Password);
DWORD MyDecryptFile(LPCSTR FileName,LPCSTR OutputFileName,LPCSTR Password);
void PrintUsage();
 
int main(int argc,char *argv[])
{
 
//Command Line: dpapi <e/d> <filename> <output filename> <password>
 
       if(argc<4 || argc>5){
              PrintUsage();
              return 0;
       }
 
       char *FileName=argv[2];
       char *OutputFileName=argv[3];
       char *Password=NULL;
       if(argc==5)Password=argv[4];
       DWORD rc=0;
 
       if(argv[1][0]=='e'){          //Encrypt
              rc=MyEncryptFile(FileName,OutputFileName,Password);
              if(rc!=0){
                     printf("Can't encrypt the file '%s',error code:%d./n",FileName,rc);
                     return 0;
              }
              printf("encrypt successfully!/n");
       }else{                         //Decrypt
              rc=MyDecryptFile(FileName,OutputFileName,Password);
              if(rc!=0){
                     printf("Can't decrypt the file '%s',error code:%d./n",FileName,rc);
                     return 0;
              }
              printf("decrypt successfully!/n");
       }
 
       return 0;
}
 
//Encrypt function
DWORD MyEncryptFile(LPCSTR FileName,LPCSTR OutputFileName,LPCSTR Password)
{
       HANDLE hFile=NULL;
       DWORD FileLen=0;
       BYTE *FileData=NULL;
       DATA_BLOB DataIn;
       DATA_BLOB DataOut;
       DATA_BLOB DataPwd;
       DATA_BLOB *pDataPwd=NULL;
 
       ZeroMemory(&DataIn,sizeof(DATA_BLOB));
       ZeroMemory(&DataOut,sizeof(DATA_BLOB));
       ZeroMemory(&DataPwd,sizeof(DATA_BLOB));
       if(Password!=NULL){
              DataPwd.cbData=strlen(Password);
              DataPwd.pbData=(BYTE*)Password;
              pDataPwd=&DataPwd;
       }
 
       try{
              hFile=CreateFile(FileName,GENERIC_READ,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
              if(hFile==INVALID_HANDLE_VALUE)throw "";
              FileLen=GetFileSize(hFile,NULL);
      
              FileData=new BYTE[FileLen];
              if(FileData==NULL)throw "";
 
              ReadFile(hFile,FileData,FileLen,&FileLen,NULL);
              CloseHandle(hFile);
              hFile=NULL;
 
              DataIn.pbData=FileData;
              DataIn.cbData=FileLen;
 
              if(!CryptProtectData(
                     &DataIn,
                     L"This is the description string.",     // A description sting.
                     pDataPwd,                               // Optional entropy not used.
                     NULL,                                   // Reserved.
                     NULL,                                   // Pass a PromptStruct.
                     0,
                     &DataOut))
              {
                     throw "";
              }
 
              delete[] FileData;
              FileData=NULL;
 
              hFile=CreateFile(OutputFileName,GENERIC_WRITE,0,NULL,CREATE_NEW,FILE_ATTRIBUTE_NORMAL,NULL);
              if(hFile==INVALID_HANDLE_VALUE)throw "";
              WriteFile(hFile,DataOut.pbData,DataOut.cbData,&FileLen,NULL);
              CloseHandle(hFile);
              hFile=NULL;
             
              LocalFree(DataOut.pbData);
              ZeroMemory(&DataOut,sizeof(DataOut));
 
       }catch(...){
 
              if(hFile)CloseHandle(hFile);
              if(FileData)delete[] FileData;
              if(DataOut.pbData)LocalFree(DataOut.pbData);
              return GetLastError();
 
       }
              return 0;
}
 
 
//Decrypt function
DWORD MyDecryptFile(LPCSTR FileName,LPCSTR OutputFileName,LPCSTR Password)
{
       HANDLE hFile=NULL;
       DWORD FileLen=0;
       BYTE *FileData=NULL;
       DATA_BLOB DataIn;
       DATA_BLOB DataOut;
       DATA_BLOB DataPwd;
       DATA_BLOB *pDataPwd=NULL;
 
       ZeroMemory(&DataIn,sizeof(DATA_BLOB));
       ZeroMemory(&DataOut,sizeof(DATA_BLOB));
       ZeroMemory(&DataPwd,sizeof(DATA_BLOB));
       if(Password!=NULL){
              DataPwd.cbData=strlen(Password);
              DataPwd.pbData=(BYTE*)Password;
              pDataPwd=&DataPwd;
       }
 
       try{
              hFile=CreateFile(FileName,GENERIC_READ,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
              if(hFile==INVALID_HANDLE_VALUE)throw "";
              FileLen=GetFileSize(hFile,NULL);
      
              FileData=new BYTE[FileLen];
              if(FileData==NULL)throw "";
 
              ReadFile(hFile,FileData,FileLen,&FileLen,NULL);
              CloseHandle(hFile);
              hFile=NULL;
 
              DataIn.pbData=FileData;
              DataIn.cbData=FileLen;
 
           if(!CryptUnprotectData(
                  &DataIn,
                     NULL,
                     pDataPwd,             // Optional entropy
                     NULL,                 // Reserved
                     NULL,                 // Optional PromptStruct
                     0,
                     &DataOut))
              {
                     throw "";
              }
 
              delete[] FileData;
              FileData=NULL;
 
              hFile=CreateFile(OutputFileName,GENERIC_WRITE,0,NULL,CREATE_NEW,FILE_ATTRIBUTE_NORMAL,NULL);
              if(hFile==INVALID_HANDLE_VALUE)throw "";
              WriteFile(hFile,DataOut.pbData,DataOut.cbData,&FileLen,NULL);
              CloseHandle(hFile);
              hFile=NULL;
             
              LocalFree(DataOut.pbData);
              ZeroMemory(&DataOut,sizeof(DataOut));
 
       }catch(...){
 
              if(hFile)CloseHandle(hFile);
              if(FileData)delete[] FileData;
              if(DataOut.pbData)LocalFree(DataOut.pbData);
              return GetLastError();
 
       }
       return 0;
}
void PrintUsage()
{
       printf("Usage: dpapi <e/d> <filename> <output filename> [password]/n");
       printf("       e encrypt file/n");
       printf("       d decrypt file/n");
}
 
 
要想编译上面的程序,你必须首先下载一个PlatfromSDK(因为VC附带的Crypt32.lib导出库中没有DPAPI的函数说明,但操作系统的Crypt32.dll中确实存在DPAPI函数),然后把PlatformSDK中的Crypt32.lib加入到你的VC工程中,最后在VC工程中的stdafx.h中加入宏定义#define _WIN32_WINNT 0x500。
使用DPAPI应该注意以下几点:
1、加密和解密操作必须在同一台计算机上进行;
2、如果加密时提供了额外的口令保护,那么解密时必须提供相同的口令;
3、在DPAPI函数之后,一定要记着用LocalFree函数释放系统分配的内存;
4、DPAPI没有存储数据的机制,应用程序必须负责存储加密或解密后的数据。
 
mark_ma_lj
关注
使用DPAPI进行数据加密解密
xiaoling9的专栏
02-28 2827
   从Win2000开始,操作系统提供一个名为Data Protection API (DPAPI)的数据保护接口。 该接口一共有两个函数,他们提供了系统级的数据保护服务。这两个函数存在于Crypt32.dll库中,是CryptAPI的一部分。   DPAPI可以实现基于口令的数据加密解密。也就是说我们提供一个口令用于加密,而其他人只有知道这个口令才能解密。   您可以访问http:/
Java DPAPI-开源
05-13
这个开源项目简化了在Java中利用Windows安全特性的过程,使得跨平台的Java应用也能享受到DPAPI提供的强大数据保护能力。对于那些需要在Windows环境下保证数据安全的Java开发者来说,Java DPAPI是一个非常实用的工具...
数据保护API(DPAPI)深度剖析与安全实践
土豆的博客
02-25 1430
在当今数据泄露与网络攻击日益频繁的背景下,Windows 提供的 DPAPI(Data Protection API)成为开发者保护本地敏感数据的重要工具。本文将从等方面,详细剖析 DPAPI 的内部机制和安全实践经验,并结合代码示例进行解析。
Windows DPAPI 数据加密保护接口详解
xiaoqing_2014的专栏
03-13 9923
1 什么是DPAPI    DPAPI是Windows系统级对数据进行加解密的一种接口,无需自实现加解密代码,微软已经提供了经过验证的高质量加解密算法,提供了用户态的接口,对密钥的推导,存储,数据解密实现透明,并提供较高的安全保证。     DPAPI提供了两个用户态接口,`CryptProtectData`加密数据,`CryptUnprotectData`解密数据加密后的数据由应用程序负责安...
如何使用 Python 调用 DPAPI
weixin_44617651的博客
09-02 779
在 Windows 环境下,DPAPI(Data Protection API)是一种用于加密解密数据的 API,可以保护数据,使其只能由当前用户或计算机访问。在 Python 中,可以通过 Cryptography 或 pywin32 等库来使用 DPAPI 进行数据加密解密
使用DPAPI加密解密你的数据
weixin_30312659的博客
07-13 603
对于小量数据加密,我们可以使用DPAPI,对称密钥,非对称密钥等。对于大量数据加密,非对称密钥加密不仅麻烦,而且速度也很慢,同时还要对公钥和密钥进行保密。使用对称密钥,速度是相当快的,但仍然要处理密钥的问题,当然这种密钥也有时效性,因为它容易被破解。所出一般情况下用于网络上的会话传输,SSL中用的较多。对于不想保存密钥,而又要加密解密来说,DPAPI可能显得简单的多,而且也不需要自己写太多的...
.NET 一款获取DPAPI用户凭据的工具
ahhacker86的专栏
07-05 493
Sharp4DPAPI 是一款功能强大的本地信息收集工具,专用于从 Windows 系统中提取和解析由 DPAPI 保护的凭据。
绕过登录屏幕限制,使用dpapi技术
weixin_35755562的博客
01-05 153
DPAPI(数据保护应用程序接口)是Windows操作系统中的一种安全技术,用于保护用户的敏感数据。它可以帮助用户绕过登录屏幕限制,但这不是它的主要目的。 要使用DPAPI来绕过登录屏幕限制,您需要在Windows操作系统中使用DPAPI程序。具体来说,您可以使用DPAPI密码恢复工具来解密您的DPAPI数据,从而获取您的登录凭据。但是,这可能会违反您的系统或机构的安全政策,并且可能存在风险。因此...
域渗透中的DPAPI和Kerberos协议
weixin_46025603的博客
12-29 608
内网渗透的本质就是以上这些数据,总是离不开和协议我们先来了解一下DPAPI有兴趣的可以看下这篇文章,跟着做一遍。
.net 加密 DPAPI
Momoanna的博客
10-23 281
.NET环境下的DPAPI加密编程 Windows的本地加密保护机制提供了简单的调用接口,密钥的生成、保护等事项一概由系统来处理,其编程接口称为DPAPI。这一加密保护机制的边界是用户登录帐户或者本地计算机系统,使用操作系统设定的加密处理过程保护数据解密还原数据,用户无需关心密钥的来源和管理。使用 DPAPI加密本地敏感信息可以使应用程序免于处理生成和存储加密密钥这一难题。 在保护边界之外,DP...
信息安全_数据安全_DPAPI_and_DPAPI-NG:Decrypting_Al.pdf
08-21
数据保护API(DPAPI)与DPAPI-NG是Windows操作系统中用于加密解密敏感数据的关键组件,特别是在数据安全领域。这些技术旨在保护用户和系统的秘密,如密码、证书私钥和其他个人数据,免受未经授权的访问。在本文中...
DPAPI加密解密
04-22
总的来说,DPAPI是Windows系统中一个强大的工具,它简化了敏感数据保护,但在使用时应充分了解其限制和潜在风险。在设计安全系统时,理解DPAPI的工作原理并合理利用其特性,可以帮助提升整体的安全性。
Java DPAPI开源封装:实现JNI与数据保护API的结合
DPAPI通常用于保护敏感信息,如用户凭据或个人隐私信息,但开发者应当明白,尽管DPAPI提供了一定程度的安全保障,但任何加密技术都不是完全不可破解的,因此保护数据安全还需要结合多方面的措施和良好的安全实践。
基于Java医院药品管理系统论文
最新发布
08-12
基于Java医院药品管理系统论文
Kafka消息队列架构及高可用配置实战.doc
08-12
Kafka消息队列架构及高可用配置实战.doc
springboot基于Java的宠物用品系统的设计与实现.doc
08-12
springboot基于Java的宠物用品系统的设计与实现
接口逻辑电平标准.pptx
08-12
电路设计+接口逻辑电路+各种接口电平+学习和交流
JAVA某店POS积分管理系统(源代码+论文)
08-12
java
基于精英版开发板的示波器程序
08-12
基于精英版开发板的示波器程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值