Winlogon, LSASS and Userinit简介

原创 2005年08月09日 17:14:00
Winlogon, LSASS and Userinit

Windows logon进程(/Windows/System32/Winlogon.exe)处理用户的登录和登出。当secure attention sequence (SAS)击键组合输入时 Winlogon被通知有一个用户登陆请求。Windows默认的SAS组合是Ctrl+Alt+DeleteSAS是为了保护用户,防止密码捕捉程序模拟登陆进程,因为这个键盘顺序不能被用户模式下的程序打断。

Logon进程在鉴定认证上是利用一个可替换的叫GINA(Graphical Identification and Authentication)DLL完成的。标准的Windows GINAMsgina.dll,它实现了默认的windows登陆接口。然而,开发者能够提供他们自己的GINA DLL来实现其他的鉴定和认证机制而代替标准的windows用户名/密码思路(例如基于声音识别的)。另外。Winlogon能够加载网络提供者附加的DLLs,来完成二级认证。这个性能允许多个网络提供者在正常的登陆时一次收集到所有的鉴定和认证信息。

当用户名和密码被捕捉时,它们就被发送到本地安全认证服务进程(/Windows/System32/Lsass.exe)进行鉴别。LSASS调用适当的认证包(以DLL实现的)来完成真正的确认,例如检查一个密码是否与活动目录或者SAM(注册表中包含用户和组的说明部分)中的相匹配。

在成功鉴定后,LSASS调用一个在安全相关的监控器中(例如NtCreateToken)的函数来生成包含用户安全描述的访问记号对象。这个访问记号随即被Winlogon用来创建在用户session的初始的进程。初始进程存储在注册表中的键值是HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon. 下面的Userinit。(默认的是Userinit.exe,但是也可以有不止一个的镜像在列表里)。

Userinit完成一些用户环境(例如运行登陆脚本和应用组策略)的初始化,然后在注册表里寻找Shell的值,创建一个进程来运行系统定义的shell(默认是Explorer.exe)。然后Userinit退出。这就是为什么Explorer.exe显示不出来父进程的原因——它的父进程已经退出。

相关文章推荐

WinLogon登录管理和GINA简介 (转)

http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows X...
  • kelsel
  • kelsel
  • 2016年10月08日 17:04
  • 1218

What is Winlogon.exe and How to Fix Winlogon.exe Logon Error

What exactly is Winlogon.exe Winlogon.exe is not a special file in Windows. Whenever you log into W...

lsass病毒文件

  • 2008年05月13日 01:47
  • 9KB
  • 下载

LSASS.EXE和smss.exe病毒

  • 2008年02月17日 16:41
  • 655KB
  • 下载

介绍一下神器mimikatz,从lsass里抓密码

昨天弄了下OphCrack,一个破解windows密码的玩意,顺带想起了这个神器,mimikatz,本人首创中文译名为:咪咪卡住,不要笑,这是很严肃的名字。 咪咪卡住的下载地址: http:/...

speech and language processing 简介

  • 2015年07月17日 10:26
  • 332KB
  • 下载

关于GINA编程_WinLogon登录管理

关于GINA编程_WinLogon登录管理   目前对GINA有点感兴趣,从网络上找点资料看看。 NTShellGINA.c - ...

lsass杀毒软件

  • 2007年12月19日 17:49
  • 74KB
  • 下载

简单的Lsass清除工具

  • 2009年11月19日 12:57
  • 460B
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Winlogon, LSASS and Userinit简介
举报原因:
原因补充:

(最多只允许输入30个字)