Winlogon通知包(Winlogon Notification Package)

转载 2016年05月31日 10:01:09
用Winlogon  Notification  Package  
//想捕捉WinXP用户注销,切换用户的事件,用WTSRegisterSessionNotification这个函数,原形:  
//  BOOL  WTSRegisterSessionNotification(  
//    HWND  hWnd,  
//      DWORD  dwFlags  
//  );    
// 

//使用HandlerEx  函数 
// 

//有一个方法:程序中用SetConsoleCtrlHandler函数来注册一个回调函数HandlerRoutine,这个回吊函数中可以收到  
//CTRL_LOGOFF_EVENT  
//CTRL_SHUTDOWN_EVENT    
//等消息,可以处理了 
// 

    
          “Winlogon通知包(Winlogon  Notification  Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon  Notification  Package”来监视winlogon事件的响应。你可以注册这些DLL,那么winlogon.exe会在启动时加载它们,并且会在系统状态切换时来调用注册DLL的事件处理函数。当然这一点用来加载后门是在好不过了,因为加载的后门存在于winlogon.exe的进程中,而winlogon.exe是系统进程,一般情况下是无法终止它的,况且杀死它会导致系统崩溃或重启,没人会这么做。用“Winlogon  Notification  Package”来加载后门的又一个好处是——你的后门将运行在system权限下而不用注册为系统服务。  
    
          为了注册你的“Winlogon  Notification  Package”,必须在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows  NT\CurrentVersion\Winlogon\Notify”下创建你的“notification  package”子键。在我的系统中,存在6个子键,分别是:crypt32chain,cryptnet,cscdll,sclgntfy,SensLogn,termsrv。在“Notify”项下,可以根据需要创建如下键值:  
    
  Asynchronous[REG_DWORD]:表明是否异步处理winlogon事件,如设为  1,winlogon将启动一个新线程来处理。  
  DllName[REG_EXPAND_SZ]:指定要加载的DLL名。  
  Impersonate[REG_DWORD]:表明是否以登陆用户的权限来处理事件。  
  Lock[REG_SZ]:锁定桌面事件。  
  Logoff[REG_SZ]:注销事件。  
  Logon[REG_SZ]:登陆事件。  
  Shutdown[REG_SZ]:关机事件。  
  StartScreenSaver[REG_SZ]:启动屏保事件。  
  StartShell[REG_SZ]:启动shell(一般指explorer.exe)事件。  
  Startup[REG_SZ]:系统开机事件。  
  StopScreenSaver[REG_SZ]:停止屏保事件。  
  Unlock[REG_SZ]:解除桌面锁定事件。  
    
  其中每个事件对应DLL中的一个导出函数,即每当有事件发生时,winlogon.exe便调用相应的函数。譬如:DllName的值为“test.dll”,Logoff的值为“testlogoff”,那么系统注销时winlogon.exe将调用test.dll中导出的“testlogon”函数。  
    
          关于DLL的实现非常地简单:只要导出处理事件是要调用的函数就行,其他和别的DLL无异。以下是代码的简单实现:  
    
  //----------------------------------Start  of  WNP.C-------------------------------------------  
  /*Create  file  exports.def  with  content:  
  EXPORTS  
  testlogoff  
  testlogon  
  */  
  #include  <windows.h>  
  #pragma  comment(linker,"/export:test=_testlogoff@4")  
  #pragma  comment(linker,"/export:test=_testlogon@4")  
  #pragma  comment(linker,"/entry:DllEntry")  
  #pragma  comment(linker,"/subsystem:windows")  
  #pragma  comment(linker,"/align:4096")  
  #pragma  comment(linker,"/dll")  
  #pragma  comment(linker,"/base:1976369152")  
    
  __declspec(dllexport)  void  __stdcall  testlogoff(DWORD  unknow)  
  {  
  MessageBox(NULL,"系统正在注销!","Winlogon  Notification  Package",MB_OK);  
  }  
    
  __declspec(dllexport)  void  __stdcall  testlogon(DWORD  unknow)  
  {  
  MessageBox(NULL,"系统正在登陆!","Winlogon  Notification  Package",MB_OK);  
  }  
    
  BOOL  __stdcall  DllEntry(HANDLE  hModule,DWORD  ul_reason_for_call,LPVOID  lpReserved)  
  {  
  switch  (ul_reason_for_call)  
  {  
  case  DLL_PROCESS_ATTACH:break;  
  case  DLL_THREAD_ATTACH:break;  
  case  DLL_THREAD_DETACH:break;  
  case  DLL_PROCESS_DETACH:break;  
  }return  TRUE;  
  }  
  //----------------------------------End  of  WNP.C---------------------------------------------  
    
    
          将编译好的test.dll复制到系统文件夹,修改注册表并重启后,发现C:\WINNT\system32\test.dll已经成功加载到winlogon.exe进程中

如何获取用户按Ctrl+Alt+Del锁定桌面的事件

今天看到CSDN中有网友问道如何获取用户按Ctrl+Alt+Del锁定桌面的事件。回帖后大致整理了一下,希望对大家有帮助。首先我们要了解一下WinLogon,他是负责提供给用户交互式界面的一个程序。W...
  • first2007
  • first2007
  • 2008年03月26日 18:40
  • 1159

Winlogon、LSASS、Userinit

参考书籍:>   转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖! 一、 Winlogon登录过程(\Windows\Syst...
  • chenyujing1234
  • chenyujing1234
  • 2012年09月29日 09:18
  • 7344

WinLogon事件通知包编程

今天看到CSDN中有网友问道如何获取用户按Ctrl+Alt+Del锁定桌面的事件。回帖后大致整理了一下,希望对大家有帮助。首先我们要了解一下WinLogon,他是负责提供给用户交互式界面的一个程序。W...
  • benny5609
  • benny5609
  • 2008年06月12日 13:22
  • 1086

如何利用Winlogon事件通知包来增强程序的隐蔽性

 作者:曹卫忠禁止学生玩游戏一直是计算机教师头疼的事。禁止游戏的程序有很多,但隐蔽性多不太好,学生只要杀进程或断开网络连接就行了。这里介绍一种利用Winlogon通知包和进程注入的方法来禁止全屏游戏,...
  • biansant
  • biansant
  • 2009年03月17日 09:56
  • 537

WinLogon事件通知包

        首先我们要了解一下WinLogon,他是负责提供给用户交互式界面的一个程序。        WinLogon初始化时会创建3个桌面:(1)、winlogon桌面:主要显示window ...
  • yeah2000
  • yeah2000
  • 2010年12月12日 20:30
  • 320

Win7 修改Winlogon.exe进程代码

首先要说的我用的方法不一定是最好的,但是可能是最简单的,并且是可恢复的一种方法,程序向winlogon.exe进程具体位置写入一个字节,屏蔽了Win+L。当然Ctrl+Alt+Del、Ctrl+Shi...
  • linfei2707
  • linfei2707
  • 2014年05月07日 16:27
  • 2099

WinLogon登录管理和GINA简介 (转)

http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows X...
  • kelsel
  • kelsel
  • 2016年10月08日 17:04
  • 1526

VNC源码研究(十)XP、Win7实现模拟发送ATL+CTRL+DEL

1、vnc-4.0-winsrc  版本中实现模拟发送ATL+CTRL+DEL 在工程wrfb_win32m中找到模拟发送ATL+CTR_DEL 的代码   在Service.h中有...
  • wangzhen209
  • wangzhen209
  • 2015年08月19日 17:53
  • 1107

Win7 禁止Ctrl+Alt+Del、Win+L等任意系统热键(利用IDA,windbg等工具分析)

标 题: 【原创】Win7 修改Winlogon.exe进程一个字节禁止Ctrl+Alt+Del、Win+L等任意系统热键 作 者: heiheiabcd 时 间: 2012-12-01,10...
  • zhoujiaxq
  • zhoujiaxq
  • 2013年12月26日 17:15
  • 2797

WinLogon登录管理和GINA简介

平时我们在使用Windows XP时,总要先进行登录。Windows XP的登录验证机制比Windows 98严格很多,理解并掌握Windows XP的登录验证机制和原理对我们来说很重要,能增强对系统...
  • wzsy
  • wzsy
  • 2014年01月24日 15:40
  • 531
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Winlogon通知包(Winlogon Notification Package)
举报原因:
原因补充:

(最多只允许输入30个字)