Win7 修改Winlogon.exe进程代码

最新推荐文章于 2024-07-01 10:34:52 发布
最新推荐文章于 2024-07-01 10:34:52 发布
阅读量1.5k 收藏
点赞数
分类专栏: windows


首先要说的我用的方法不一定是最好的,但是可能是最简单的,并且是可恢复的一种方法,程序向winlogon.exe进程具体位置写入一个字节,屏蔽了Win+L。当然Ctrl+Alt+Del、Ctrl+Shift+Esc、Win+P等等都可以屏蔽,前提是你知道原理。

演示程序是64位,由于没32位 win7系统做测试,所有不知道具体偏移
发一下具体代码,Win+L的ID为5、Ctrl+Shift+Esc的ID为4、Ctrl+Alt+Del的ID为0

代码: 
/*
由进程名获取PID
*/
DWORD GetPidByProcessName(LPCTSTR pszName)
{
  PROCESSENTRY32    pe32;
  HANDLE        hSnapshot;

  hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if (hSnapshot == INVALID_HANDLE_VALUE)
    return -1;
  
  pe32.dwSize = sizeof(PROCESSENTRY32);
  if( !Process32First( hSnapshot, &pe32 ) )
  {
    CloseHandle(hSnapshot);
    return -1;
  }

  do
  {
    if(lstrcmpi(pe32.szExeFile, pszName) == 0)
    {
      CloseHandle(hSnapshot);
      return pe32.th32ProcessID;
    }
  }
  while ( Process32Next(hSnapshot, &pe32) );

  CloseHandle(hSnapshot);

  return -1;
}

/*
禁止Win+L热键,参数bDisable表示是否禁止
*/
BOOL DisableHotKey(BOOL bDisable)
{
  UCHAR      uchOrigCode[] = {0x05};
  UCHAR      uchHookCode[] = {0x25};
  UCHAR      uchReadCode[] = {0x00};
  LPVOID      lpReadAddress;
  DWORD      dwPID;
  HANDLE      hProcess;
  HMODULE      lphModule[512];
  DWORD_PTR    dwReturn;
  DWORD      dwOldProtect;
  INT        i;

  //查找winlogon.exe进程PID
  if(!(dwPID = GetPidByProcessName(_T("winlogon.exe"))))
    return FALSE;
  
  //打开进程
  if(!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
    return FALSE;

  //枚举进程模块
  if(!EnumProcessModules(hProcess, lphModule, sizeof(lphModule), (LPDWORD)&dwReturn))
  {
    CloseHandle(hProcess);
    return FALSE;
  }
  
  //进程加载基址加上偏移
  lpReadAddress = (LPVOID)((LPSTR)lphModule[0] + 0x1710D);
  if(bDisable)
  {
    //读取原地址字节
    if(!ReadProcessMemory(hProcess, lpReadAddress, uchReadCode, sizeof(uchReadCode), &dwReturn))
    {
      CloseHandle(hProcess);
      return FALSE;
    }

    //判断是否是要修改的字节
    for(i=0; i<sizeof(uchReadCode)/sizeof(UCHAR); i++)
    {
      if(uchReadCode[i] != uchOrigCode[i])
      {
        CloseHandle(hProcess);
        return FALSE;
      }
    }

    //将Win+L的ID从5改成25
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchHookCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect);
    WriteProcessMemory(hProcess, lpReadAddress, uchHookCode, sizeof(uchHookCode), &dwReturn);
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchHookCode), dwOldProtect, &dwOldProtect);
  }
  else
  {
    //读取原地址字节
    if(!ReadProcessMemory(hProcess, lpReadAddress, uchReadCode, sizeof(uchReadCode), &dwReturn))
    {
      CloseHandle(hProcess);
      return FALSE;
    }

    //判断是否是要修改的字节
    for(i=0; i<sizeof(uchReadCode)/sizeof(UCHAR); i++)
    {
      if(uchReadCode[i] != uchHookCode[i])
      {
        CloseHandle(hProcess);
        return FALSE;
      }
    }

    //恢复
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchOrigCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect);
    WriteProcessMemory(hProcess, lpReadAddress, uchOrigCode, sizeof(uchOrigCode), &dwReturn);
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchOrigCode), dwOldProtect, &dwOldProtect);
  }

  CloseHandle(hProcess);
  return TRUE;
}
chenyulancn
关注
专栏目录
【超级鼠标键盘锁】之winlogon.exe进程调试
业精于勤,荒于嬉
02-26 393
至此,除了Ctrl+Alt+Del、Win+L组合键之外,其他能想到的按键和鼠标都屏蔽了,对于这两个组合键的屏蔽,看下论坛中有位前辈heiheiabcd很早之前就写了一篇文章: https://blog.csdn.net/linfei2707/article/details/25237671 文章提到四种想法,其中第四种方法堪称完美,好像这也是不用驱动实现屏蔽这两个组合键的最佳方法了。 一、window7系统winlogon.exe调试 经过初步的调试,从之前实现结果可以看到,这种方法存在很大的缺陷:由于w
【超级鼠标键盘锁】项目工程下载地址
业精于勤,荒于嬉
02-27 283
一、HOOK钩子屏蔽鼠标和Ctrl+Alt+Del、Win+L之外的按键 ①HOOK钩子dll实现 ②主程序实现 二、winlogon.exe进程调试 ①window7系统winlogon.exe调试 ②windows10系统winlogon.exe调试 系统版本1 系统版本2 ③在内存中修改指令 ④代码 三、远线程注入winlogon.exe进程屏蔽Ctrl+Alt+Del、Win+L ①远线程注入与卸载 ②获取winlogon进程ID和InjwlgDll.dll的路径进行远线程注入 四、项目工程代码下载
WIN修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
win7 修改winlogon内存 禁用Ctrl+Alt+Delete
心野
07-21 2547
win7 修改winlogon内存 禁用Ctrl+Alt+Delete工具: WinDbg Winhex WinDbg1.右键管理员运行,否则无法Attach到Winlogon进程2.设置Symbol 地址File - Symbol File Path(Ctrl+S) srv*c:\symbolslocal*http://msdl.microsoft.com/download/symbols;
启动应用程序出现winlogon.exe找不到问题解决
最新发布
wbcmbfy的博客
07-01 581
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个winlogon.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现winlogon.exe丢失要怎么解决?
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
蓝屏解决办法,及介绍。(装逼或学习)
Wumija的博客
05-11 6643
快速蓝屏win+R 输入taskkill /f /im wininit.exe bat代码:for /f %%I in (‘wmic process get Name’)do (wmic process where Name="%%I" delete) 当您在运行Microsoft Windows 2000/XP/Server 2003、Microsoft Windows Vista/Server 2008、Microsoft Windows 7操作系统时,Windows可能会突然停止正常运行,并显示一副含
mt.exe.一个不错的东西,功能很强大
空虚浪子心的blog
11-17 2048
作者未知...测试环境: 主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方) 客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的) 网络环境:网卡,8029-8139,双机互连. MT.EXE是一个网络管理方
PECMD命令详解
圣三一
07-24 4729
winPE下的PECMD命令详解 目前,国内winpe系统大都有一个核心软件支持,这就是pecmd.exe(一个命令行解释程序)共有70多条。 转载自:https://www.twblogs.net/a/5b836da22b71776c51e30018 https://www.twblogs.net/a/5b836da42b71776c51e30024 命令的分类: 常用命令行命令 系统变量 说明 CurDir 当前目录 Desktop 桌面 Favorites 收藏夹 Pe
Windows常见基本进程七:winlogon
紫晶花园-计算机技术分园
08-21 1052
Windows常见基本进程七:winlogonwinlogon - winlogon.exe - 进程信息进程文件: winlogon or winlogon.exe进程名称: Microsoft Windows Logon Process  描述:WinLogon.exeWindows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogo
Windows 技术篇-设置电脑启用或禁用开机按Ctrl+Alt+Del解除锁定
小蓝枣的博客
05-14 5139
因为博主的电脑有一个键位坏了,每次开机,会自动的输入密码。所以就想到了开机后加个 Ctrl+Alt+Del 来解决问题。 启用或禁用方式如下: 首先,通过 Win+R 进入运行界面,然后输入 gepdit.msc 进入本地组策略编辑器。 然后,按图中所示位置找到 “安全选项” 里的 “交互式登录:无须按Ctrl+Alt+Del”,双击修改一下值就好了。 Windows 技术篇-设置电脑启用或禁用开机按Ctrl+Alt+Del解除锁定
winlogon进程的hook
InkSnail的专栏
02-20 2985
 原始链接:http://hi.baidu.com/tedasnow/blog/item/3a8b38d341b525003af3cfb6.html 要将hook注入winlogon进程需要特定权限,要在localsystem权限下运行。NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINADLL提供了一个交互式的界面为用户登陆提供认证请求。在
MATLAB知识点积累
业精于勤,荒于嬉
02-27 724
x(:)表示将矩阵x转换成列向量。
1、网上找的win7 hook winlogon实现禁用CTRL+ALT+DEL
weixin_42193415的博客
07-11 829
Module文件 Attribute VB_Name = "KeyboardLockFormModule" Option Explicit Private Declare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As Integer Private Declare Function OpenProcess Lib "...
WinLogon登录管理和GINA简介 (转)
热门推荐
在线笔记
10-08 1万+
http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows XP的登录验证机制比Windows 98严格很多,理解并掌握Windows XP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。     
WIN10 注册表winlogon乱删除后果及系统恢复
weiyiwen1982的博客
04-13 1万+
WIN10 注册表winlogon乱删除后果及系统恢复 前言 前段时间发现电脑右下角总是弹出广告信息,一般的杀毒软件也无法有效拦截。为了解决此问题,笔者在网上搜索了好长时间后,据某些帖子说可以删除注册表中的一些关键字等。例如删除如下的关键字。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。 删除后,重启进入系统,发现可以登录windows但是系统桌面总是出现闪动。因此,笔者断定系统即将崩溃,所有文件夹都不能有效
告诉你怎么杀winlogon.exe病毒
lne818的专栏
08-06 8992
告诉你怎么杀winlogon.exe病毒 以下是解决办法.进程里面有两个winlogon.exe 小写的是system进程.正常的.大写的是用户进程.病毒.WINLOGON.EXE不能结束,说是关键进程,所以需要强行结束:首先:C:/Windows/system32 里,把cmd.exe文件复制出来,改名成cmd.com,然后双击这个COM文件(被木马搞坏掉了exe文件连接)CMD 在命令
计算机网络安全:winlogon.exe进程查看与安全基础
"本文主要介绍了如何查看winlogon.exe进程号以及计算机网络安全的基础知识,包括网络安全的必要性、法规、安全等级评估以及实验环境配置。此外,还涉及到信息安全的广泛定义、研究层次和基本要求。" 在计算机网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值