Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。
该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行.我们都知道操作系统都是基于权限,而权限都是基于用户的,而这个winlogon进程就是管理用户登入登出,是不可以被结束的。winlogon是一个父进程,大多数的进程都是winlogon的子进程,如MDM.EXE、SVCHOST.EXE、ALG.EXE等等重要的进程,换句话说没有winlogon哪来正常的操作系统,怎么能启动系统。
为了监控winlogon进程中没有病毒,需要插入dll 进行安检。
dll编写就不再浪费时间,
下面我们重点实现如何插入dll.
#include "stdafx.h"
#ifdef _MANAGED
#pragma managed(push, off)
#endif
EXTERN_C __declspec(dllexport) void install();
EXTERN_C __declspec(dllexport) void uninstall();
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
#ifdef _MANAGED
#pragma managed(pop)
#endif
void install()
{
HANDLE hToken; // handle to process token
TOKEN_PRIVILEGES tkp; // pointer to token structu