Gina.DLL被破坏,无法调用winlogin登录界面

最新推荐文章于 2021-12-18 20:47:56 发布
最新推荐文章于 2021-12-18 20:47:56 发布
阅读量6.8k 收藏
点赞数
文章标签: 杀毒软件 cmd windows 浏览器 xp ui

Gina.DLL被破坏,无法调用winlogin登录界面。

一、现象

1、Windows XP 在Normal和Safe Mode 下提示GinaDll文件被破坏或者提示rpcfap.dll丢失,登录UI无法正常显示。

2、利用ERD启动系统后,查找注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]项,发现GinaDLL="rpcfap.dll"这个键值,删除该键值,然后重新启动,系统可以正常登录

3、再次重新启动系统,重复出现现象1的错误提示,用ERD启动后查看注册表,GinaDLL再次出现在Winlogon项里。

二、分析

   由现象3可知,病毒还没清除,利用最新的杀毒软件扫描,没发现任何病毒文件。因此推断,该病毒可能为某个病毒的变种(废话:P)。

三、排除过程

一般的木马采取几种方式来实现自启动的:

1、在系统的启动项([HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run])里面加入自己的执行地址。

2、是在系统的服务项中(
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services])添加服务启动项,并把自己注册成为后台启动的服务。

3、把自己伪装成系统文件如Explorer、IExplorer、CMD、REGEDIT、Internat等等,又或者把自己伪装成为杀毒软件的文件如:RavMon、McfeeScan、McafeeEngine、McafeeVirusScan等等

4、把自己注入到系统进程里面如SVCHOST、RUNDLL32等

   可是我将系统服务、系统进程、甚至把CMD、REGEDIT等都检查过一遍了,仍然没有发现任何可疑之处。我把Gina项删除了之后,再一次打开注册表,发现刚刚清除了的Gina项又再一次出现了。在安全模式下尝试,同样出现上述情况。

   为什么我删除了Gina在注册表里的键值,会在我打开了注册表之后又再一次出现的呢?因为这个键值存在,那么系统启动时就会出错,无法显示登录界面。然而,当我删除了Gina之后,重新启动系统,系统是可以正常启动的。那说明,应该是有某个程序在监控注册表Gina的键值,而且这个程序是有条件触发的,并非实时对注册表实行监控的。

   由此,我用了一个监视软件来对注册表进行数据收集。收集到的数据如下

--------------------------------------------------------------------------

1 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
2 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
3 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
4 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
5 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
6 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
7 regedit.exe:400 EnumerateValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
8 regedit.exe:400 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
9 regedit.exe:400 DeleteValueKey HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS 
10 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
11 EXPLORER.EXE:1760 SetValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
12 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
13 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
14 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
15 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
16 regedit.exe:2252 EnumerateValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
17 regedit.exe:2252 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
18 regedit.exe:2252 DeleteValueKey HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS 
19 WINLOGON.EXE:704 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
20 WINLOGON.EXE:704 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
21 WINLOGON.EXE:704 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
22 WINLOGON.EXE:704 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
23 WINLOGON.EXE:704 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
24 EXPLORER.EXE:1760 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL NOTFOUND 
25 EXPLORER.EXE:1760 SetValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
26 regedit.exe:204 EnumerateValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
27 regedit.exe:204 QueryValue HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS "rpcfap.dll"
28 regedit.exe:204 DeleteValueKey HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL SUCCESS 

--------------------------------------------------------------------------

    这里我们看见,当我打开注册表或者浏览器的时候,Explorer.exe会检查注册表中Gina的值,因此,可以推定,Explorer.exe被挟持了(这一次HijackThis居然没发现.........)。

   然后让我们检查一下注册表中关于Explorer项里的数据情况,在[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]这里,我发现了一个很奇怪的值,他的默认值被改为fileap.dll,而正常情况下这下面的默认键的值应该是(数值没被设定),和一个{AEB6717E-7E19-11d0-97EE-00C04FD91972}的键。那么是不是这个键中的文件就是病毒程序呢?我在命令行模式下搜索所有的fileap.*,发现了有两个文件fileap.dll和fileap.ver,备份好后,执行删除命令,系统提示文件受保护,无法删除。

   为了进一步验证,我把注册表备份一次,然后,进入安全模式。进入注册表,将所有和fileap和GinaDLL有关的键全部删除,然后重新启动系统(因为系统启动被加载到Explorer中,因此那些文件仍然是无法删除的),再次进入安全模式,这次,那些fileap的文件就可以被删除掉了。然后再检查注册表,这次GinaDll终于被彻底地赶出了系统了。

   重新启动后,系统正常。在重新启动,系统正常、进程正常、服务正常。 

shined_zhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GINA.dll 各函数介绍
05-25
GINA.dll 各函数介绍 首先介绍一下Winlogon。Windows 2000/NT有三种系统状态:没有用户登录状态、用户成功登录状态以及工作站锁定状态。Winlogon是Windows 2000/NT操作系统提供交互式登录支持的组件。Winlogon有三个组成部分:可执行文件winlogon.exe,提供图形界面认证功能的动态库 Gina Dll,以及一些网络服务提供动态库Network Provider Dll
替换GINA_DLL实现自己的登陆界面
11-28
标题中的“替换GINA_DLL实现自己的登陆界面”指的是在Windows操作系统中,通过编程技术自定义登录验证过程。GINA(Gina Generic Interface)是Windows XP及以下版本中用于用户身份验证的一个动态链接库,它负责处理...
Windows开机登录认证与Gina DLL
曾今拼命的想,现在却拼命的忘
09-07 955
Windows的开机密码认证模块一般是由Gina DLL完成的。在NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINA DLL提供了一个交互式的界面为用户登陆提供认证请求。  1.Gina原理  WinLogon会和GINA DLL进行交互,缺省是MSGINA.DLL(在System32目录下)。微软同时也为我们提供了接口,我们可以自己编写GINA DL
关于gina.dll的编写
tianshibaijia
09-30 213
gina,正如微软官方说明所说的: The GINA operates in the context of the Winlogon process and, as such, the GINA DLL is loaded very early in the boot process. The GINA DLL must follow rules so that the integrity of...
替换GINA.DLL实现自己的登陆界面
05-12 2233
发表日期:2004年12月9日   出处:www.xiaozhou.net(本站原创)    作者:酷狗     【编辑录入:webmaster】
通过编写自定义的gina.dll实现U盘开机锁
11-30 2441
simples.c 编译为可执行程序simples.exe 下面的程序编译为ginafuncs.dll并用它替换c:\windows\system32下的msgina.dll 开机时ginafuncs.dll被加载,当ginafuncs.dll收到远程计算机上simples.exe发出的socket后,自动用simples.exe传来的用户名密码启动计算机 #include
替换windows 登陆界面,GINA
04-08
当你提到“替换Windows登陆界面,GINA”,你可能是指自定义或替换默认的GINA模块,以实现特定的身份验证机制。 **GINA的原理与作用:** 1. GINA全称为Graphical Identification and Authentication,是Windows系统...
gina.sample.zip_full_gina_gina source code
09-21
Windows Vista之后,GINA被Credential Provider取代,但理解GINA对于理解Windows认证机制的历史演变仍然非常重要。 MS GINA,即Microsoft GINA,是Windows系统中默认的GINA实现。它与系统服务交互,处理用户身份...
Gina dll 程序,已经替换登陆界面
06-12
使用者需要按照文档指示,将`MyGina.dll`复制到适当的位置,并在注册表中设置`GinaDLL`键值为`MyGina.dll`的完整路径,以使系统在启动时加载这个新的登录界面。 总之,Gina DLL的替换是一项高级的系统定制技术,...
Win10怎么设置每天自动开机
热门推荐
feiyu361的博客
12-18 1万+
这里写自定义目录标题Win10设置每天自动开机的方法:1、首先桌面上找到“此电脑”应用,鼠标点击右键,选择“管理”选项进入。2、弹出来的对话框中点击左栏中的”任务计划程序“,进入页面后点击右栏中的“创建基本任务”按钮。3、弹出来的对话框中,输入“定时开机”,进入任务触发器页面中,选项所要求的频率。4、选择我们要求的时间,点击下一步,程序或者脚本选项中输入程序“gina“,参数”-s -t 3600“,填完后,点击完成即可。 其实Win10系统有一个功能挺人性化的,就是自动开机。用户可以设置每天自动开机,这样
Gina dll编写
09-18
Gina dll编写,VC6.0编译即可
Windows登录Gina的Dll
11-10
能帮助你开发登录模块的代码,修改下就可以利用
Windows 开机登录认证与Gina DLL
Yong的博客
06-29 1644
Windows的开机密码认证模块一般是由Gina DLL完成的。在NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINA DLL提供了一个交互式的界面为用户登陆提供认证请求。1.Gina原理WinLogon会和GINA DLL进行交互,缺省是MSGINA.DLL(在System32目录下)。微软同时也为我们提供了接口,我们可以自己编写GINA DLL来代替MSGI...
替换GINA DLL实现智能卡登录--DayDayUp
yingfox的专栏
11-14 744
 1. 在Wlxinitialize()中初始化智能卡设备2.在WlxLoggedOutSas中嵌入身份识别模块3.监控智能卡,实现拔卡封屏./1814710.shtml
Windows2000/XP的安全模式下,替换Gina
乱弹斋
06-29 2620
Win2000/XP的正常模式下,我们可以用注册表的方式: 在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon 添加自己的Gina DLL来实现Windows的登陆控制。但在安全模式下,WindowsWinlogon。Exe不会调用注册表 中指定的Gina DLL。而是使用默认的MsGina
gina.exe下载
最新发布
02-03
gina.exe是一个被广泛使用的计算机程序,用于帮助用户管理和组织他们的个人和工作文件。它提供了简单的界面,允许用户轻松地浏览、编辑和分享文件。用户可以通过gina.exe轻松地创建文件夹和子文件夹,将文件移动到不同的位置,并在需要时对它们进行重命名。另外,gina.exe还提供了文件搜索功能,帮助用户快速找到他们需要的文件。 要下载gina.exe,用户可以通过官方网站或认可的软件下载平台进行下载。在下载前,用户需要确保他们使用的是可靠的来源,以避免下载到恶意软件或病毒。 下载完成后,用户可以双击exe文件运行安装程序。安装过程非常简单,用户只需按照提示一步步进行操作即可。安装完成后,用户可以在他们的计算机上找到gina.exe的图标,并立即开始使用它来管理和组织文件。 总的来说,gina.exe是一个非常实用的工具,可以帮助用户提高工作效率,减少文件管理的时间和精力。通过下载和安装gina.exe,用户可以更方便地管理他们的文件和文件夹,从而更加高效地完成工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值