Winlogon, LSASS and Userinit简介

原创 2005年08月09日 17:14:00
Winlogon, LSASS and Userinit

Windows logon进程(/Windows/System32/Winlogon.exe)处理用户的登录和登出。当secure attention sequence (SAS)击键组合输入时 Winlogon被通知有一个用户登陆请求。Windows默认的SAS组合是Ctrl+Alt+DeleteSAS是为了保护用户,防止密码捕捉程序模拟登陆进程,因为这个键盘顺序不能被用户模式下的程序打断。

Logon进程在鉴定认证上是利用一个可替换的叫GINA(Graphical Identification and Authentication)DLL完成的。标准的Windows GINAMsgina.dll,它实现了默认的windows登陆接口。然而,开发者能够提供他们自己的GINA DLL来实现其他的鉴定和认证机制而代替标准的windows用户名/密码思路(例如基于声音识别的)。另外。Winlogon能够加载网络提供者附加的DLLs,来完成二级认证。这个性能允许多个网络提供者在正常的登陆时一次收集到所有的鉴定和认证信息。

当用户名和密码被捕捉时,它们就被发送到本地安全认证服务进程(/Windows/System32/Lsass.exe)进行鉴别。LSASS调用适当的认证包(以DLL实现的)来完成真正的确认,例如检查一个密码是否与活动目录或者SAM(注册表中包含用户和组的说明部分)中的相匹配。

在成功鉴定后,LSASS调用一个在安全相关的监控器中(例如NtCreateToken)的函数来生成包含用户安全描述的访问记号对象。这个访问记号随即被Winlogon用来创建在用户session的初始的进程。初始进程存储在注册表中的键值是HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon. 下面的Userinit。(默认的是Userinit.exe,但是也可以有不止一个的镜像在列表里)。

Userinit完成一些用户环境(例如运行登陆脚本和应用组策略)的初始化,然后在注册表里寻找Shell的值,创建一个进程来运行系统定义的shell(默认是Explorer.exe)。然后Userinit退出。这就是为什么Explorer.exe显示不出来父进程的原因——它的父进程已经退出。

Winlogon, LSASS and Userinit简介

导读:   Winlogon, LSASS and Userinit   Windows logon进程(/Windows/System32/Winlogon.exe)处理用户的登录和登出。当sec...
  • yingfox
  • yingfox
  • 2007年11月14日 18:16
  • 466

Winlogon、LSASS、Userinit

一、 Winlogon登录过程(\Windows\System32\Winlogon.exe)处理交互式用户登陆和注销,当安全注意序列(SAS,Secure Attention Sequence)组...
  • zhoujiaxq
  • zhoujiaxq
  • 2013年12月26日 15:55
  • 1093

windows7注册表项Userinit键值删除导致不能登录解决的简单办法

登录系统选择命令行模式(另外两个是安全模式、zh)
  • typ2004
  • typ2004
  • 2014年04月03日 21:59
  • 1061

Winlogon通知包(Winlogon Notification Package)

用Winlogon  Notification  Package   //想捕捉WinXP用户注销,切换用户的事件,用WTSRegisterSessionNotification这个函数,原形:  ...
  • Rodney443220
  • Rodney443220
  • 2016年05月31日 10:01
  • 478

Win7 修改Winlogon.exe进程代码

首先要说的我用的方法不一定是最好的,但是可能是最简单的,并且是可恢复的一种方法,程序向winlogon.exe进程具体位置写入一个字节,屏蔽了Win+L。当然Ctrl+Alt+Del、Ctrl+Shi...
  • linfei2707
  • linfei2707
  • 2014年05月07日 16:27
  • 2125

WinLogon登录管理和GINA简介 (转)

http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows X...
  • kelsel
  • kelsel
  • 2016年10月08日 17:04
  • 1655

注入Winlogon进程示例代码 - [编程学习]

注入Winlogon进程示例代码 - C语言
  • xinshi9608
  • xinshi9608
  • 2011年01月20日 13:27
  • 1467

打开谷歌浏览器(chrome)线程lsass.exe的cpu占用高的解决办法

有时打开谷歌浏览器lsass.exe导致cpu猛彪,经查阅资料,第七步技术在线给出解决办法 解决办法如下: 在命令提示符下运行以下命令 RD /s /q "%USERPROFILE%...
  • luofeng0710
  • luofeng0710
  • 2017年09月25日 15:16
  • 1019

Windows NT WinLogon Notify(转载+修改版)

方法一: 在NT系列Windows操作系统中,恶意软件可以通过关联Winlogon特定的事件来使自身被启动,如Lock,Logoff,Logon,Shutdown,StartScreenSaver,...
  • jackey3Lin
  • jackey3Lin
  • 2015年11月20日 14:52
  • 587

注入winlogon

 要将hook注入winlogon进程需要特定权限,要在localsystem权限下运行 NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINA DLL提供了一个交互...
  • iiprogram
  • iiprogram
  • 2008年07月17日 09:55
  • 1633
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Winlogon, LSASS and Userinit简介
举报原因:
原因补充:

(最多只允许输入30个字)