基于visual c++之windows核心编程代码分析(54)实现Winlogon注入dll

最新推荐文章于 2024-01-29 11:21:04 发布
最新推荐文章于 2024-01-29 11:21:04 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 系统 VC++ 安全
系统 同时被 3 个专栏收录
53 篇文章 1 订阅
订阅专栏
VC++
21 篇文章 0 订阅
订阅专栏
安全
11 篇文章 0 订阅
订阅专栏

Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。

该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行.我们都知道操作系统都是基于权限,而权限都是基于用户的,而这个winlogon进程就是管理用户登入登出,是不可以被结束的。winlogon是一个父进程,大多数的进程都是winlogon的子进程,如MDM.EXE、SVCHOST.EXE、ALG.EXE等等重要的进程,换句话说没有winlogon哪来正常的操作系统,怎么能启动系统。

为了监控winlogon进程中没有病毒,需要插入dll 进行安检。

dll编写就不再浪费时间,

下面我们重点实现如何插入dll.

[cpp] view plain copy print ?
  1. #include "stdafx.h" 
  2.  
  3.  
  4. #ifdef _MANAGED 
  5. #pragma managed(push, off) 
  6. #endif 
  7. EXTERN_C __declspec(dllexport) void install(); 
  8. EXTERN_C __declspec(dllexport) void uninstall(); 
  9. BOOL APIENTRY DllMain( HMODULE hModule, 
  10.                        DWORD  ul_reason_for_call, 
  11.                        LPVOID lpReserved 
  12.                      ) 
  14.     return TRUE; 
  16.  
  17. #ifdef _MANAGED 
  18. #pragma managed(pop) 
  19. #endif 
  20.  
  21. void  install() 
  23.     HANDLE hToken;              // handle to process token  
  24.     TOKEN_PRIVILEGES tkp;       // pointer to token structure  
  25.     OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS, &hToken);  
  26.     LookupPrivilegeValue(NULL, SE_DEBUG_NAME,  
  27.         &tkp.Privileges[0].Luid);  
  28.     tkp.PrivilegeCount = 1;  // one privilege to set     
  29.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
  30.     AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES) NULL, 0); 
  31.     HKEY hkey; 
  32.     BYTE value_[MAX_PATH*2]; 
  33.     char *run="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\winsvr";//启动项 
  34.     HANDLE cf;   
  35.     RegDeleteKey(HKEY_LOCAL_MACHINE,run);//先删除 
  36.     RegCreateKey(HKEY_LOCAL_MACHINE,run, &hkey); //自启动 
  37.     if (!hkey)//失败 
  38.     { 
  39.         return
  40.     } 
  41.  
  42.     strcpy((char*)&value_,"c:\\dll.dll");//dll路径 
  43.     RegSetValueEx(hkey,"DLLName",0,REG_EXPAND_SZ,(PBYTE)&value_,strlen((char*)&value_)); 
  44.     strcpy((char*)&value_,"exe");//导出函数名 
  45.     RegSetValueEx(hkey,"Logon",0,REG_SZ,(PBYTE)&value_,strlen((char*)&value_)); 
  46.  
  47.     //让winlogon异步处理我们的程序,避免卡在那。 
  48.     DWORD dw=1; 
  49.     RegSetValueEx(hkey,"Asynchronous",0,REG_DWORD,(PBYTE)&dw,sizeof(dw));    
  51. void uninstall() 
  53.     HANDLE hToken;              // handle to process token  
  54.     TOKEN_PRIVILEGES tkp;       // pointer to token structure  
  55.     OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS, &hToken);  
  56.     LookupPrivilegeValue(NULL, SE_DEBUG_NAME,  
  57.         &tkp.Privileges[0].Luid);  
  58.     tkp.PrivilegeCount = 1;  // one privilege to set     
  59.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
  60.     AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES) NULL, 0); 
  61.     HKEY hkey; 
  62.     BYTE value_[MAX_PATH]; 
  63.     char *run="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\winsvr";//启动项 
  64.     HANDLE cf;   
  65.     RegDeleteKey(HKEY_LOCAL_MACHINE,run);//先删除 
  67. 原文地址:http://blog.csdn.net/yincheng01/article/details/7214452
abcpanpeng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Winlogon.rar_Windows编程_C++_
08-11
在这个“Winlogon.rar”压缩包中,我们可能找到了关于如何利用C++进行Windows编程,特别是与Winlogon.exe相关接口函数操作的知识资源。 在C++编程中,与Winlogon进行交互通常涉及到对Windows API(应用程序编程接口...
注入Winlogon进程示例代码
jingzu的专栏
11-13 1489
注入Winlogon进程示例代码作者:未知   来源:本站整理    更新日期:2006-11-09    浏览次数: “Winlogon通知包(Winlogon Notification Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon Notification Package”来监视winlogon事件的响应。你可以注册这些DLL,那么wi
用C/C++创建windows服务程序
积累点滴,保持自我
08-03 6100
右键点击->启动 大功告成。GetKeyName------获取服务的 ServiceKeyName。continue--------向服务发送 CONTINUE 控制请求。showsid---------显示相应于假定名称的 SID 字符串。pause-----------向服务发送 PAUSE 控制请求。sidtype---------更改服务的服务 SID 类型。qsidtype--------查询服务的服务 SID 类型。create----------创建服务(将其添加到注册表)。...
C++程序屏蔽windows2008系统安全界面(ctrl+alt+delete热键)
rongyong的专栏
09-02 2674
win7,win8系统与winxp系统不一样,ctrl+alt+delete热键会打开一个安全界面,而不仅仅是打开任务管理系统,而安全界面是由进程winlogon.exe来控件的,就是说,在按下热键的时候会首先激活进程winlogon.exe进程,然后再做其他事,因此不能用钩子来屏蔽ctrl+alt+delete热键,这里采用的是将winlogon.exe进程挂起的办法: 提升权限函数
屏蔽系统热键/关机/注入 Winlogon(中)
最新发布
溡漪幽博客
01-29 1131
系列文章主要讲解关于挂钩Winlogon回调过程,实现对任务管理器电源操作DWM 自启动控制、常见系统热键等进行编程拦截。最后,我们指出可以通过我们的方法修改系统登陆或者其他安全页面的界面样式,达到自定义的效果。这是之前编写的一篇文章,一直没有发布,最近得空完善了一下。本篇从 RPC 挂钩角度实现热键拦截。我曾阅读过heiheiabcd写的通过修改具体的窗口回调中的操作 ID,将其指向无效的 ID 来拦截系统热键的方法(《禁止Ctrl+Alt+Del、Win+L等任意系统热键》
C++实现Windows的运行(Win+R)
C++
02-14 1975
C++运行
yased.zip_Windows编程_Visual_Basic_
08-10
标签进一步确认了主题——"Windows编程"和"Visual Basic",意味着这个压缩包的内容可能包括教程、示例代码、库文件或者是用Visual Basic编写的Windows应用程序的源代码。 压缩包内的文件名称列表如下: 1. ...
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
windows API编程(冉林仓)第七章源代码WinLogon编程
11-18
第7章 WinLogon编程  7.1 WinLogon概述  7.2 WinLogon 通知包的创建  7.3 GINA动态链接库编程  7.4 WinLogon进程的注入  7.5 小结  7.6 思考题  7.7 练习题
基于Usbkey的Windows登录系统的设计与实现.pdf
07-10
Windows 2000/XP平台上,设计并实现基于Usbkey的开机登录身份认证和访问控制系统,首先需要理解Winlogon和GINA的关系。开发者需要编写一个自定义的GI NA模块,当用户尝试登录时,系统会调用这个模块来验证Usbkey的...
C++ 自定义winlogon 程序sample
10-13
VS2005 C++编写 很完整的如何修改添加winlogon安全桌面的DLL DEBUG建议两台电脑或者虚拟机形式! 主代码38MB传不了那么多分开传吧
(C++)读写注册表的类
gemo的专栏
01-13 2772
直接用API读写注册表还是比较麻烦的,于是就封装了一个类来操作,类声明如下: class rw_reg { public: static BOOL GetRegStr( tstring strKeyName, tstring strValueName, tstring& strValue, DWORD dwMaxLength = 260, HKEY hKeyPa
MATLAB知识点积累
业精于勤,荒于嬉
02-27 703
x(:)表示将矩阵x转换成列向量。
注入winlogon
07-17 2702
 要将hook注入winlogon进程需要特定权限,要在localsystem权限下运行 NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINA DLL提供了一个交互式的界面为用户登陆提供认证请求。在WinLogon初始化时,就向系统注册截获CTRL+ALT+DEL消息,所以其他程序就无法得到CTRL+ALT+DEL的消息。WinLogon会和GINA DLL
一个注入winlogon的程序的代码,学习API用
07-17 1566
 Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As LongPrivate Declare Function ReadProcessMemory Lib "k
精通Windows API编程:从基础到实践
通过详细讲解各种API函数和概念,书中涵盖了动态链接库(DLL)、进程与线程、进程间通信(IPC)、API Hook技术以及WinLogon编程等多个重要领域,帮助开发者提升在Windows平台上的编程能力。 Win32 API编程简介部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值