Ring3下无驱动移除winlogon.exe进程ctrl+alt+del,win+u,win+l三个系统热键,非屏蔽热键

最新推荐文章于 2020-05-07 15:17:12 发布
最新推荐文章于 2020-05-07 15:17:12 发布
阅读量5.6k 收藏 8
点赞数
分类专栏: C/C++ 文章标签: null winapi dll callback token thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwfgdlc/article/details/6609591
版权

随手而作,纯粹技术研究,没什么实际意义。


打开xuetr,正常情况下.winlogon.exe注册了三个热键。
ctrl+alt+del,win+u,win+l三个。

这三个键用SetWindowsHookEx()函数,使用键盘钩子也屏蔽不了。


我们先把UnregisterSystemHotKey.dll解压出来,放到任意目录.

比如E盘根目录,就运行

rundll32 E:\UnregisterSystemHotKey.dll,Hook
再打开xuetr看下,Winlogo.exe进程注册的热键都没有了. 


#include <windows.h>
#include <process.h> 
#include <tchar.h>
#include <stdio.h>
#include <shlwapi.h>
#include <psapi.h>

#pragma comment(lib, "psapi.lib")
#pragma comment(lib, "shlwapi.lib")

TCHAR ModuleFile[MAX_PATH];
TCHAR szText[128] = {0};
WNDPROC OldWindowProc;
HWND hWinLogon;
HMODULE hDll;


LRESULT CALLBACK NewWindowProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
	if (message == WM_NULL)
	{
		::UnregisterHotKey(hWnd, 0); //Ctrl+Alt+delete
		::UnregisterHotKey(hWnd, 4); //Ctrl+Shift+Esc
		::UnregisterHotKey(hWnd, 5); //Win+L
		::UnregisterHotKey(hWnd, 6); //Win+U
		::SetWindowLongPtr(hWnd, GWL_WNDPROC, (LONG)OldWindowProc);
		return 1;
	}
	
	return CallWindowProc(OldWindowProc, hWnd, message, wParam, lParam);
}

BOOL WINAPI EnablePrivileges()
{
	HANDLE hToken; 
	TOKEN_PRIVILEGES tkp; 

	if (!OpenProcessToken(GetCurrentProcess(), 
		TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) 
		return( FALSE ); 

	LookupPrivilegeValue(NULL, SE_DEBUG_NAME, 
		&tkp.Privileges[0].Luid); 

	tkp.PrivilegeCount = 1; 
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 

	AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, 
		(PTOKEN_PRIVILEGES)NULL, 0); 

	if (GetLastError() != ERROR_SUCCESS) 
		return FALSE; 

	return TRUE;
}

BOOL CALLBACK lpEnumWindowsProc(HWND hwnd, LPARAM lParam)
{
	if (IsWindow(hwnd))
	{
		::GetWindowText(hwnd, szText, _countof(szText));

		if (!_tcscmp(szText, TEXT("SAS window")))
		{
			hWinLogon = hwnd;
			OldWindowProc = (WNDPROC)::SetWindowLongPtr(hwnd, GWL_WNDPROC, (LONG)NewWindowProc);
			PostMessage(hwnd, WM_NULL, 0, 0);
			return FALSE;
		}
	}

	return TRUE;
}

UINT _stdcall FreeSelfProc(void *Arg)
{
	FreeLibraryAndExitThread(hDll, 0);
	return 1;
}

BOOL WINAPI DllMain(HINSTANCE hDllHandle, DWORD nReason, LPVOID Reserved)
{
	switch ( nReason )
	{
	case DLL_PROCESS_ATTACH:
		hDll = hDllHandle;
		GetModuleFileName(NULL, ModuleFile, _countof(ModuleFile));
		EnablePrivileges();
		
		if (StrStrI(ModuleFile, TEXT("winlogon.exe")))
		{
			HANDLE hThread;
			UINT ThreadId;

			HDESK hWinLogon = OpenDesktop(TEXT("Winlogon"), 0, FALSE, GENERIC_ALL);
			::EnumDesktopWindows(hWinLogon, lpEnumWindowsProc, NULL);
			CloseDesktop(hWinLogon);

			hThread = (HANDLE)_beginthreadex(NULL, NULL, &FreeSelfProc, 0, 0, &ThreadId);
			WaitForSingleObject(hThread, INFINITE);
			CloseHandle(hThread);			
		}
		else
		{
			DWORD dwProcessId = 0;
			HANDLE hProcess = 0;  
			DWORD ProcessList[512], cbNeeded, cProcess;
			TCHAR szFileName[256];

			EnumProcesses(ProcessList, sizeof(ProcessList), &cbNeeded);
			cProcess = cbNeeded/sizeof(DWORD);

			for (UINT i=0; i<cProcess; i++)
			{
				if (ProcessList[i] != 0)
				{
					hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessList[i]);
					if (hProcess)
					{
						GetModuleBaseName(hProcess, NULL, szFileName, _countof(szFileName));
						if (!_tcsicmp(szFileName, TEXT("winlogon.exe")))
						{
							dwProcessId = ProcessList[i];
							break;
						}
					}
				}
			}

			if (dwProcessId)
			{
				hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
			}

			if (!hProcess)
			{
				return 0;
			}
		
			LPVOID Param = VirtualAllocEx(hProcess, 0, 512, MEM_COMMIT, PAGE_READWRITE);
			if (!Param)
			{
				MessageBox(NULL, TEXT("申请内存失败"), TEXT("申请内存失败"), MB_ICONWARNING);
				return 0;
			}

			GetModuleFileName(hDllHandle, ModuleFile, _countof(ModuleFile));

			if (!WriteProcessMemory(hProcess, Param, (LPVOID)ModuleFile, 256, NULL))
			{
				MessageBox(NULL, TEXT("写入内存失败"), TEXT("写入内存失败"), MB_ICONWARNING);
				return 0;
			}
			
			HANDLE hThread = CreateRemoteThread(hProcess, 
					NULL, 
					NULL, 
					(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryW"),
					Param, 
					NULL, 
					NULL);
			if (hThread)
			{
				WaitForSingleObject(hThread, INFINITE);
			}
			else
			{
				TCHAR sztmp[1024];
				_stprintf_s(sztmp, _countof(sztmp), TEXT("创建远程线程失败, 错误代码:%d, dll=%s"), GetLastError(), ModuleFile);
				MessageBox(NULL, sztmp, TEXT("创建远程线程失败"), MB_ICONWARNING);
				return 0;				
			}

			VirtualFreeEx(hProcess, Param , 0, MEM_RELEASE);
			CloseHandle(hThread);
			CloseHandle(hProcess);
		}
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		::SetWindowLongPtr(hWinLogon, GWL_WNDPROC, (LONG)OldWindowProc);
		break;
	default:
		break;
	}

	return 1;
}

EXTERN_C __declspec(dllexport) int Hook(void)
{
	return 1;
}



zwfgdlc
关注
专栏目录
C#代码屏蔽CTRL+ALT+DEL
suijuebi4678的博客
05-16 2949
常折腾的方法,就是为了不写驱动! 首先是挂起winlogon进程的类: using System; using System.Diagnostics; using System.Runtime.InteropServices; namespace WindowsFormsApplication1 {     class ProcessMgr
Delphi 10.3.3屏蔽CRTL+ALT+DELETE组合键延时关机立即关机开机启动源码
04-26
用于工控机电脑,原理是挂起进程winlogon.exewinlogon在win系统中是负责管理系统登录的进程,组合键最终会落到这个进程里来响应,你直接把这个进程挂起也可以起到屏蔽的效果。键盘钩子 屏蔽CRTL+ALT+DELETE组合键 ...
在内核驱动中检测隐藏进程
01-13
在安全检测工具 中.一般都 比较重视 隐藏 进程的检测 。道理很简单 .正常 的进程 没有必 要去 隐藏 自己.毕竟隐藏进程花费的代价还是 很 高 的。为什 么这 么说呢 ? 系统 中安 装 了钩 子 .运 行效 率 自然不 会 很高 人 正 不怕 影子 歪 .所 以说没 有必要去 隐藏 自己。当然也有 一 些例 外的网游 .为 了保护 自己从 而隐藏进程 . 常见的有韩国nProtect公司的跑跑卡丁车 .就存 在隐藏进程GameMon.des的运行
C# 键盘钩子例子 可屏蔽Ctrl+Alt+Delete
07-20
这是我在网上收集了N久的成果,可以屏蔽Ctrl+Alt+Delete组合键(XP下有效),常实用。
网上第一个解决win7下禁用Ctrl_alt_del的C#代码
01-14
第一个完美解决C# 禁用Ctrl+alt+delete组合键的方案,使用VC++完成,以Dll形式提供
基于visual c++之windows核心编程代码分析(54)实现Winlogon注入dll
我的编程之旅
01-01 1538
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。 该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行.我们都知道操作系统都是基于权限,而权限都是基于用户的,而这个winlogon进程就是管理用户登入登出,是不可以被结束的。winlogon是一个父进程,大多数的进程都是winlogon的子进程,如MDM.
屏蔽ctrl+alt+del的参考
04-11
这是因为系统默认在启动时会注册一个名为`WinLogon`的进程,这个进程会在用户登录前后负责处理与`Ctrl+Alt+Del`相关的事件。因此,我们需要利用`WinLogon`提供的扩展接口——GINA(Graphical Identification and ...
Delphi屏蔽热键Ctrl Alt Del的源码实例.rar
07-10
Delphi在2000XP2003下屏蔽Ctrl Alt Del组合键,Delphi真正屏蔽的原理是这样的:利用远程注入技术,加载DLLWinlogon进程,然后截获SAS窗口并接管WM_HOTKEY消息,以达到屏蔽Ctrl Alt Del的目的。根据BCB_FANS(四大...
WINDOWSNT2000下如何屏蔽CTRL+ALT+DEL
02-18
Windows NT 2000操作系统中,CTRL+ALT+DEL键组合被设计为一个安全功能,用于启动任务管理器、锁定计算机或者注销用户。这个组合键是系统中不可替代的一部分,因为它能防止恶意程序劫持用户会话。然而,在某些特定...
替换WIN+L,变成桌面按钮,双击锁定
07-26
桌面空白处右键-新建-快捷方式,输入rundll32.exe user32.dll,LockWorkStation,点击下一步,输入“一键锁定”点击完成
在SYSTEM权限下以当前用户权限运行程序
01-06
在SYSTEM权限下以登陆用户运行程序。 ap.exe yourprogram.exe 请勿用于法用途,即使要用一定要自己编译去掉banner!
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
win10专业版】win7禁用Ctrl+Alt+delete组合键的方法
win10ZYB的博客
05-07 2099
win732位系统中,我们可以通过Ctrl+Alt+delete组合键来打开任务管理器,但是有些用户可能不喜欢,就想要禁用Ctrl+Alt+delete组合键,但是却不知道要怎么操作,本文就给大家带来win7禁用Ctrl+Alt+delete组合键的方法。 具体步骤如下: 1、首先,我们按键按下Windows键,或者电脑系统左下角也有个Windows键鼠标点下,在弹出的菜单,选择“控制面板"; ...
Win7 修改Winlogon.exe进程一个字节禁止Ctrl+Alt+DelWin+L等任意系统热键
weixin_30258027的博客
06-28 426
本文系转载,原文已被原作者删除。标 题: 【原创】Win7 修改Winlogon.exe进程一个字节禁止Ctrl+Alt+DelWin+L等任意系统热键 作 者: heiheiabcd 时 间: 2012-12-01,10:08:55 链 接: http://bbs.pediy.com/showthread.php?t=159346 由于想做个屏幕锁程序,因此想研究了下Win7的Ctrl+Al...
ring0和ring3的区别
爱码农爱生活
03-16 576
 现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。      Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想,应...
绕过系统文件保护的另一种方法
The_IT_Crowd的专栏
06-18 1014
起到系统文件保护作用的是sfc_os.dll这个文件 他被注入到了Winlogon中 我的思路就是在Winlogon中的进程找到这个DLL的线程然后挂起掉自然就失效了 以下是Powerbasic写的源代码XPSP3通过测试 #编译的EXE  #暗淡 #INCLUDE“Win32Api.inc”  #包括“TlHelp32.inc的”
获取本地System权限
weixin_30236595的博客
10-16 505
  作为C++方面的第一片文章,就先说说获取权限方面的东西吧!首先是获取DeBug权限(它是做其他进一步工作的基础),想必大家对这个方法应该很熟悉吧,网上有关这个的文章已经很多了,所以我就直接贴代码了! 代码 1 BOOL WINAPI EnterDebug() 2 { 3 4 HANDLE retokenhandle; 5 BOOL res = FALSE; 6 ...
设置windows2008系统缓存大小限制,解决服务器运行久了因物理内存耗尽出僵死
热门推荐
zwfgdlc的专栏
05-08 1万+
声明: 本工具是限制系统缓存占用物理内存,达到降低系统内存占用的目的.而不是增大系统缓存而用的. 32位的WINDOWS2008最大缓存限制2G,64位的是4G. 也就是说即使你不用本工具,32位的系统只要你保留3G左右的空闲内存,64位的只要你保留5G左右的内存.系统应该
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值