第3章 徒手战木马
讲述内容:遇到一台进入桌面后没有启动explorer.exe的系统,在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序,重启后,在进入桌面时被强制登出,在安全模式下情况一样。使用ERD(Emergency Repair Disk Commander)启动,再次查看注册表Userinit项,发现Userinit.exe的路径路径不正确,修改为正确的路径后(C:\Windows\System32\Userinit.exe),重启,系统恢复正常。
关键点:
1、登录桌面的过程
(1)当用户输入用户名和密码后,负责登录的系统进程WinLogon将用户名和密码发给负责安全认证的另一个系统进程LSASS
(2)LSASS调用验证模块对用户名和密码进行验证,如果通过,则创建一个访问令牌对象。
(3)WinLogon启动HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit表键下指定的程序(默认为UserInit.exe)
(4)Userinit进程执行登录和初始化脚本,然后启动Shell表键中定义的Shell程序,默认即为Explorer.exe
2、Winlogon启动Userinit表键下程序的规则
(1)如果有一个程序被成功启动,那么便认为处理成功。
(2)如果指定的所有程序都启动失败,那么便强制登出(Log Off)。
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
