Inloggningsprogram

Inloggningsprogrammet ( Windows Logon ) är en komponent i Microsoft Windows operativsystem som ansvarar för att logga in på systemet.

Översikt

Den körbara processen är winlogon.exe. Det startas av en process smss.exe, som också startar en process csrss.exe. För att genomföra en dialog med användaren används GINA- biblioteket . Inloggningsprogrammet hanterar tangenttryckningar Ctrl++ och Alt++ . laddar och kör kod från Winlogon-aviseringspaketbiblioteken . Sådana bibliotek används av systemet, program och virus.DelCtrl⇧ ShiftEscWinlogon.exe . De stöds inte i Windows Vista [1] eller senare versioner av Windows.

Processens kritik

Processen winlogon.exegenom standard WinAPI kan inte stängas. Detta kräver privilegietSE_DEBUG .

Om du fortfarande stänger processen kommer en blå dödsskärm att visas på skärmen med följande meddelande:

c000021a {Fatal System Error} Windows-inloggningsprocessen avslutades oväntat med en status...

vilket är en konsekvens av att en specialskyddsuppsättning för processen utlöses winlogon.exeav en odokumenterad RtlSetProcessIsCriticalbiblioteksfunktionntdll.dll .

I den ryska versionen av operativsystemet kommer skärmen att vara fylld med ASCII-tecken, som, när de dekrypteras, betyder:

c000021a {} Oväntat avbrott av Windows Logon Process-systemprocessen med tillståndet...

Anledningen till ett sådant fel kan vara att systemdisken fylls till det yttersta, när utrymmet frigörs återgår allt till det normala . Från och med Windows Vista orsakar avslutning av en process winlogon.exeen omedelbar utloggning istället för en krasch .

Funktioner

Inloggningsprogrammet börjar med att vara en pågående process smss.exe. Efter några förberedande steg visas en inloggningsprompt. Under laddningen av operativsystemet lsass.exeoch startar services.exe. Om den nya välkomstskärmsstilen är aktiv startas en process för att visa den logonui.exe. Efter inloggning kör inloggningsprogrammet de kommandon som anges i WindowsUserinit -registerinställningen  - vanligtvis userinit.exe, vilket i sin tur startar de program som anges i inställningen Shell - vanligtvis explorer.exe.

Används av skadlig programvara

Virus och annan skadlig kod kan lägga till sina Winlogon-aviseringspaketbibliotek och ändra inställningarna Shelloch Userinitinfektera systemet. Namnet winlogon.exeanvänds av vissa virus, så alla filer med samma namn ligger i en annan mapp än %SYSTEMROOT%\system32och är misstänkta %SYSTEMROOT%\dllcache. Genom att byta namn på den önskade applikationen till kan du uppnå dess lansering med SYSTEM-%SystemRoot%\System32\logon.scr, användarrättigheter efter 10 minuters väntan på att användarnamnet och lösenordet ska komma in i systemet .

Anteckningar

  1. ↑ Meddelandepaket för W inlogon har tagits bort: Inverkan på planering och implementering av Windows Vista (länk ej tillgänglig) . Hämtad 27 september 2008. Arkiverad från originalet 13 maj 2013.