Delphi：如何从内存中完全删除字符串[重复]

Question

Var
S1:String;
S2:String;
begin
   S1:='Sensitive Data';
   S2:=Crypt(S1,'encryption key');
   S1:='';
   FreeAndNil(S1);
end;

现在，当我使用“WinHex”之类的程序搜索我的进程内存时，我可以轻松找到未加密的字符串！ 即使我尝试制作新表单来加密此字符串然后卸载表单但它仍然存在

有什么办法可以彻底消除

提前致谢

Answer 1

完成后，您需要用零覆盖字符串。像这样：

ZeroMemory(Pointer(s), Length(s)*SizeOf(Char));

如果您怀疑编译器会优化掉 ZeroMemory，那么您可以使用 SecureZeroMemory。但是，Delphi 编译器不会优化掉 ZeroMemory，所以这有点没有实际意义。

如果你只是写：

s := '';

然后内存将按原样返回给内存管理器。然后，您将无法控制内存管理器何时重用或归还内存。

显然，您需要对字符串的所有副本都这样做，因此唯一明智的方法是不要复制敏感数据。

根据您的问题，这对代码没有任何帮助，因为您的敏感数据是字符串文字，因此存储在可执行文件中。这种方法只能有意义地应用于动态数据。我认为您的真实程序不会将敏感数据放在文字中。

哦，永远不要将字符串传递给 FreeAndNil。您只能将对象变量传递给 FreeAndNil，但该过程使用无类型的 var 参数，因此编译器无法将您从错误中解救出来。

Answer 2

Var
  S1:String;
  S2:String;
begin
   S1:='Sensitive Data';
   S2:=Crypt(S1,'encryption key');
   UniqueString(S1); // <-- if reference count of S1 is not 1
   ZeroMemory(Pointer(S1), Length(S1)*SizeOf(Char));
   // or better: SecureZeroMemory(Pointer(S1), Length(S1)*SizeOf(Char));
   S1:='';
end;