win7 修改winlogon内存 禁用Ctrl+Alt+Delete
工具:
- WinDbg
- Winhex
WinDbg
1.右键管理员运行,否则无法Attach到Winlogon进程
2.设置Symbol 地址
File - Symbol File Path(Ctrl+S)
srv*c:\symbolslocal*http://msdl.microsoft.com/download/symbols;
其中http://msdl.microsoft.com/download/symbols 部分不变
C:\mbolslocal为下载的路径,自己设置
3.附加到Winlogon
File - Attach to a Process (F6)
选择Winlogon,一开始为中断状态,在这里设置断电
bu WMsgKMessageHandler
然后按F5,让Winlogon运行,这时候可以监听系统按键了。
4.定义偏移
按Ctrl+Shift+Esc 调出任务管理器
WinDbg触发断点,一直F8,直到出现
cmp eax,4 (4是Ctrl+Shift+Esc的ID)
在这里地址下断点,F5 重新监听,可以用bc把刚才第一个的断点删了
按Ctrl+Alt+Del
WinDbg触发断点 ,此时的 eax 为 0
下面的代码都是
cmp eax ,和一个数字直到
test eax,eax
jne 一个地址
(这里判断eax是否为0)
可以把jne改为jmp 就可以达到屏蔽Ctrl+Alt+Delete 的效果了
Winhex
1.tools-Open Memory
2.选择 winlogon-winlogon.exe
3.Go to Offset (Alt+G)
输入 test eax,eax的地址,在这里改就行了