远程注入线程,屏蔽Ctrl+Alt+Del

最新推荐文章于 2017-02-15 09:25:00 发布
最新推荐文章于 2017-02-15 09:25:00 发布
阅读量7.7k 收藏 6
点赞数
分类专栏: 4.操作系统|Linux|汇编 文章标签: null windows winapi dll token hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feijj2002_/article/details/1662484
版权
本文介绍了如何在Windows 2000中通过动态链接库和远程线程注入技术来禁用Ctrl+Alt+Delete组合键,以达到屏蔽其功能的目的。这种方法涉及Hook Winlogon进程中的SAS窗口窗口过程,以处理WM_HOTKEY消息。此外,还提供了代码示例展示了如何创建远程线程并执行DLL注入,以实现对Ctrl+Alt+Delete的控制。
摘要由CSDN通过智能技术生成

 关键字     Ctrl,Alt,Delete,Windows 2000,hook,SAS,GINA,WINAPI,API,Thread 
  


如何: 在Windows2000中动态禁用/启用Ctrl-Alt-Delete 



--------------------------------------------------------------------------------

此文章的信息应用于:


Microsoft Windows 2000


--------------------------------------------------------------------------------


单击这里下载本文的代码。

概要
此文章的信息来自CSDN论坛VC/MFC版的讨论 

在NT/2000中怎么禁用Ctrl+Alt+Delete?(不能用gina,键盘驱动) 
在Windows2000中Ctrl-Alt-Delete组合键的处理如下:

Winlogon初始化的时候,在系统中注册了CTRL+ALT+DEL Secure Attention Sequence(SAS)热键,并且在WinSta0 Windows 系统中创建三个桌面。 
SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程,所以保证了没有其他应用程序能够处理这个热键。

在 Windows NT/Windows 2000/Windows XP中, WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了SAS窗口(窗口标题是"SAS Window")和如下三个桌面。 

Winlogon 桌面 
应用程序 桌面 
屏幕保护 桌面
当用户按下Ctrl-Alt-Delete组合键时,Winlogon桌面上的SAS窗口收到它注册的系统热键消息(WM_HOTKEY) 
SAS Window窗口处理这个消息调用Graphical Identification and Authentication(GINA)动态连接库中的相关函数
要中断Ctrl-Alt-Delete组合键的处理,可以有以下方式

从键盘驱动层捕获Ctrl-Alt-Delete 
替换Winlogon 
替换GINA 
Hook Winlogon 上SAS窗口的窗口过程(需要当前登录用户有调试权限) 
Hook  GINA里边的函数WlxLoggedOnSAS,然后返回WLX_SAS_ACTION_NONE(未研究)
更多信息
鉴于系统的更新可能造成我们替换的系统文件和其他系统文件不兼容(著名的DLL地狱),所以不推荐替换Winlogon.exe和GINA的方法。这里我们讨论Hook Winlogon 上的SAS窗口的窗口过程的方法。 

因为SAS窗口和我们的程序内存地址空间不同,所以要写一个动态连接库,加载到SAS窗口的内存空间中。下面是动态连接库的源代码。 

//---------------------------------------------------------------------------
//作者 :韦覃武
//网上呢称:BCB_FANS(四大名捕之追杀令)(此为CSDN和www.driverdevelop.com之帐号)
//E-Mail :slwqw@163.com
//日期 :2002-10-20
//
//功能 :在2000下屏蔽Ctrl + Alt + Del组合键。(在Windows 2000 Professional SP3
// 中文版平台下面测试通过)
//原理 :采用远程线程注入技术,装载一个DLL到Winlogon进程,然后截获SAS窗口的窗
// 口过程,接管WM_HOTKEY消息,以达到屏蔽Ctrl + Alt + Del之目的。
//开发语言:Borland C++Builder 5.0 Patch2
//技术比较:关于在2000下面如何屏蔽Ctrl + Alt + Del组合键,一种常被提到的解决方法就
// 是使用自己写的GINA去替换MSGINA.DLL,然后在WlxLoggedOnSAS里边直接返回
// WLX_SAS_ACTION_NONE。嘿嘿,说到底这并不是真正地屏蔽了这个组合键,只是
// 直接返回WLX_SAS_ACTION_NONE时,Winlogon进程又自动从"Winlogon"桌面切换
// 回原来的"Default"桌面了,而不是显示安全对话框,所以看起来被屏蔽了:),
// 使用那种方法明显地看到桌面在闪烁!但是使用本文的方法时,你不会看到任
// 何闪烁!
//鸣谢 :www.driverdevelop.com上的icube和lu0。
//版权 :转载请注明原作者:)

//---------------------------------------------------------------------------

#include "stdafx.h"

#include <string>

using namespace std;

//---------------------------------------------------------------------------

HWND hSASWnd;
FARPROC FOldProc;

LRESULT CALLBACK SASWindowProc(HWND hwnd,UINT uMsg,WPARAM wParam,LPARAM lParam);

BOOL CALLBACK EnumWindowsProc(HWND hwnd,LPARAM lParam);

//---------------------------------------------------------------------------

HANDLE hThread = NULL;
DWORD dwThreadId;

DWORD WINAPI ThreadFunc();

//---------------------------------------------------------------------------
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
    switch(ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH :

            hThread = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)ThreadFunc,NULL,0,&dwThreadId);
            break;
        case DLL_PROCESS_DETACH :
            if(FOldProc != NULL)
            {
                SetWindowLong(hSASWnd,GWL_WNDPROC,long(FOldProc));
            }
            CloseHandle(hThread);
            break;
    }
    return TRUE;
}
//---------------------------------------------------------------------------
DWORD WINAPI ThreadFunc()
{
    HDESK hDesk;

    hDesk = OpenDesktop("Winlogon",0,false,MAXIMUM_ALLOWED);

    FOldProc = NULL;
    hSASWnd = NULL;

    EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowsProc,0);

    if(hSASWnd != NULL)
    {
        FOldProc = (FARPROC)SetWindowLong(hSASWnd,GWL_WNDPROC,long(SASWindowProc));
    }
    CloseHandle(hDesk); 

    return 1;
}
//---------------------------------------------------------------------------
//查找"Winlogon"桌面的窗口
BOOL CALLBACK EnumWindowsProc(HWND hwnd,LPARAM lParam)
{
    char ClassBuf[128];

    GetWindowText(hwnd,ClassBuf,sizeof(ClassBuf));

    //我自己写了一个系统服务,然后在里边查询"Winlogon"桌面上的窗口,发现桌面上存在
    //窗口"SAS window"。
    string ClassName(ClassBuf); 
    if(ClassName.find("SAS window") != -1)
    {
        hSASWnd = hwnd;
        return false;
    }
    return true;
}
//---------------------------------------------------------------------------
//SAS窗口的窗口过程
LRESULT CALLBACK SASWindowProc(HWND hwnd,UINT uMsg,WPARAM wParam,LPARAM lParam)
{
    //屏蔽Ctrl + Alt + Del
    if(uMsg == WM_HOTKEY)
    {
        WORD wKey = HIWORD(lParam);
        WORD wModifier = LOWORD(lParam);
        bool IsCtrlDown = ((wModifier & VK_CONTROL) != 0);
        bool IsAltDown = ((wModifier & VK_MENU) != 0);
        bool IsShiftDown = ((wModifier & VK_SHIFT) != 0);

        //按下Ctrl + Alt + Del组合键
        if(IsCtrlDown && IsAltDown && wKey == VK_DELETE)
        {
        return 1;
        }
        //按下Ctrl + Shift + Esc组合键,这个组合键将显示任务管理器,可根据需要是否屏蔽。
        else if(IsCtrlDown && IsShiftDown && wKey == VK_ESCAPE)
        {
            // Do nothing
        } 
    }
    return CallWindowProc((WNDPROC)FOldProc,hwnd,uMsg,wParam,lParam);
}
//---------------------------------------------------------------------------
这样,如果Winlogon加载了这个动态连接库,那么就替换了SAS窗口的窗口过程。如果Winlogon卸载了这个动态连接库,则恢复了SAS窗口的窗口过程。

为了让Winlogon加载我们的动态连接库,首先要找到Winlogon进程,然后在进程中分配空间存放我们的代码,再通过创建远程线程赖执行我们的代码。下面是Hook部分的代码


//---------------------------------------------------------------------------
//作者 :韦覃武,jiangsheng
//网上呢称:BCB_FANS(四大名捕之追杀令)(此为CSDN和www.driverdevelop.com之帐号)jiangsheng(此为CSDN帐号)
//E-Mail :slwqw@163.com
//日期 :2002-10-20
//2002-11-5 jingsheng修改
//功能 :在2000下屏蔽Ctrl + Alt + Del组合键。(在Windows 2000 Professional SP3
// 中文版平台下面测试通过)
//原理 :采用远程线程注入技术,装载一个DLL到Winlogon进程,然后截获SAS窗口的窗
// 口过程,接管WM_HOTKEY消息,以达到屏蔽Ctrl + Alt + Del之目的。
//开发语言:Borland C++Builder 5.0 Patch2,Visual C++ 6.0 SP5
//技术比较:关于在2000下面如何屏蔽Ctrl + Alt + Del组合键,一种常被提到的解决方法就
// 是使用自己写的GINA去替换MSGINA.DLL,然后在WlxLoggedOnSAS里边直接返回
// WLX_SAS_ACTION_NONE。嘿嘿,说到底这并不是真正地屏蔽了这个组合键,只是
// 直接返回WLX_SAS_ACTION_NONE时,Winlogon进程又自动从"Winlogon"桌面切换
// 回原来的"Default"桌面了,而不是显示安全对话框,所以看起来被屏蔽了:),
// 使用那种方法明显地看到桌面在闪烁!但是使用本文的方法时,你不会看到任
// 何闪烁!
//鸣谢 :www.driverdevelop.com上的icube和lu0。
//版权 :转载请注明原作者:)

//---------------------------------------------------------------------------

最低0.47元/天 解锁文章
feijj2002_
关注
专栏目录
VB 远线程注入技术 屏蔽 Ctrl+Alt+Del
yingfox的专栏
11-14 1460
 在NT平台下,用户登陆是使用Winlogon和GINA——Graphical Identification and Authentication,意思是图形化的身份认证。Winlogon是Windows系统的一部分,它专门提供交互式登陆支持,而GINA则是Winlogon用来实现认证的一个DLL——这个DLL就是msgina.dll。WlxInitialize、WlxActivateUs
VC实现Windows屏蔽Ctrl+Alt+Del
04-13
Visual C++实现Win2000下屏蔽Ctrl+Alt+Del
远程线程注入技术 屏蔽ctrl+alt+del
weixin_33734785的博客
02-15 397
在NT/2000中怎么禁用Ctrl+Alt+Delete?(不能用gina,键盘驱动)在Windows2000中Ctrl-Alt-Delete组合键的处理如下:Winlogon初始化的时候,在系统中注册了CTRL+ALT+DELSecure Attention Sequence(SAS)热键,并且在WinSta0 Windows 系统中创建三个桌面。...
VC实现Win2000下屏蔽Ctrl+Alt+Del
yingfox的专栏
11-13 599
导读:   大家知道,Ctrl+Alt+Del是Win2k/NT操作系统默认的系统登录/注销组合键序列,系统级别很高。在应用程序中,想要屏蔽掉该键序列的响应或得到这个"按下"事件,难度是相当大的。本例介绍了一种简单易行的方法,实现在用户登录成功后,按下Ctrl+Alt+Del不再弹出"Windows安全"对话框。需要读者朋友注意的是,本实例必须运行在Windows 2000环境下。   一
禁用 CTRL+ALT+DEL
邱明
10-26 806
今天由于公司其它组的一个小项目部署在终端机上,需要在开机时打开一个浏览器,并禁用CTRL+ALT+DEL。于是我在网上找了一个,大部分是答非所问,或者是乱说的。在csdn中看到有.dll文件下载,不过分数真的是高。后来还是在百度找到了答案,和大家分享一下。(我用的是xp) (1) 在开始菜单“运行”对话框键入"gpedit.msc"打开“组策略”设置。 展开“本地计算机策略”→“用户配...
VC实现下屏蔽Ctrl+Alt+Del
超越梦想的专栏
07-18 3372
大家知道,Ctrl+Alt+Del是Win2k/NT操作系统默认的系统登录/注销组合键序列,系统级别很高。在应用程序中,想要屏蔽掉该键序列的响应或得到这个"按下"事件,难度是相当大的。本例介绍了一种简单易行的方法,实现在用户登录成功后,按下Ctrl+Alt+Del不再弹出"Windows安全"对话框。需要读者朋友注意的是,本实例必须运行在Windows 2000环境下。   一、 实现方
VC++利用远程线程屏蔽ctrl+alt+del组合键
03-15
在"VC++利用远程线程屏蔽ctrl+alt+del组合键"的场景中,核心代码会涉及以下几个步骤: 1. **注入代码**:首先,我们需要编写一段能拦截并处理Ctrl+Alt+Del组合键的代码,通常是汇编语言实现,因为这类底层操作通常...
利用远程线程屏蔽ctrl+alt+del组合键
01-04
标题中的“利用远程线程屏蔽ctrl+alt+del组合键”涉及到的是计算机系统安全和远程控制技术的一个方面。在Windows操作系统中,Ctrl+Alt+Del是用于唤起任务管理器或安全选项的关键组合,它是用户与系统交互的安全屏障...
Delphi屏蔽热键Ctrl Alt Del的源码实例.rar
07-10
Delphi在2000XP2003下屏蔽Ctrl Alt Del组合键,Delphi真正屏蔽的原理是这样的:利用远程注入技术,加载DLL到Winlogon进程,然后截获SAS窗口并接管WM_HOTKEY消息,以达到屏蔽Ctrl Alt Del的目的。根据BCB_FANS(四大...
VC++屏蔽Windows热启键(Ctrl+Alt+Del)程序
03-17
内容索引:VC/C++源码,系统相关,热键  VC++屏蔽Windows热启键(Ctrl+Alt+Del)程序,实现动态禁用/启用Window NT/2000/XP的Ctr+Alt+Del组合键,在远程线程分配内存来存放参数。测试发现,本程序在XP下运行好像有点问题,容易导致电脑重启,特别是在勾选选框的时候,大家请注意。
vc禁用Window的Ctrl+Alt+Delete组合键.visual c++
02-28
vc禁用Window的Ctrl+Alt+Del组合键.zip
屏蔽按键CTRL+ALT+DEL
04-08
屏蔽CTRL+ALT+DEL
WINDOWS NT/2000下如何屏蔽CTRL+ALT+DEL》配套VC源代码
03-15
WINDOWS 9X环境中我们可以使用SystemParametersInfo (SPI_SCREENSAVERRUNNING, 1,NULL, 0);来屏蔽CTRL+ALT+DEL,但在NT/2000环境下却行不通,即使使用WH_KEYBOARD_LL这个低级的键盘hook也无法拦截!笔者通过替换GINA DLL的方式很好地实现了在NT/2000下屏蔽CTRL+ALT+DEL的功能。 关键字:WlxLoggedOnSAS,WINDOWS NT/2000下如何屏蔽CTRL+ALT+DEL,GINA DLL
完美屏蔽 Ctrl+Alt+Del
荣植华的专栏
10-25 8313
完美屏蔽 Ctrl+Alt+Del 键一、前言  在Windows 9x/Me系统中,屏蔽Ctrl+Alt+Del和各种任务开关键的方法是通过下面的方法实现的:BOOL bOldState;SystemParametersInfo(SPI_SETSCREENSAVERRUNNING, TRUE, &bOldState, 0); 但在NT平台下,此方法不再适用,即使使用钩子技术也无法拦截到这个组
C++程序屏蔽常规按键(ctrl+alt+delete除外)
rongyong的专栏
09-02 6109
C++屏蔽键盘按键其实就是用钩子,只是让按键不起反应还是很简单的 1、首先设置钩子 HHOOK keyHook = NULL; void setHook() { keyHook =SetWindowsHookEx( WH_KEYBOARD_LL,keyProc,GetModuleHandle(NULL),0); //第一个参数表示低级键盘钩子,第二个参数表示回调函数,后面两个参数为
屏蔽ctrl+alt+del
04-08
本资源包含一个类的.h文件和.cpp文件,只要创建类对象调用两个接口函数就可以很方便的屏蔽或者撤销屏蔽ctrl+alt+del
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值