windows - Ctrl + Alt + Slet WM-meddelelsesnummer

Indlæg af Hanne Mølgaard Plasc

Problem



Enhver ved hvad Windows-proceduren når du trykker på tasterne Ctrl + Alt + Del ?
Jeg spørger om Windows-proceduren beskednummer returneres, når du trykker på disse taster. Jeg vil gerne vide nummeret på alle mulige Windows-versioner (w7, xp, vista, ...).

Bedste reference


Winlogon.exe aflyt den sikre opmærksomme sekvens (SAS), som er CTRL-ALT-DEL. Det er en almindelig hotkey, der er registreret hos RegisterHotKey, men da Winlogon får det først, kan du ikke stjæle det eller deaktivere det, på hvilket som helst programmeringssprog.


Når Winlogon modtager SAS, starter det LogonUI.exe . LogonUI er den proces, der viser 'fliserne', de kvadrater du ser på logonskærmen. Hver firkant er en implementering af en Credential Provider .


Referencedataudbyderen indsamler dine legitimationsdata, ofte et navn og en adgangskode. Den sender informationen tilbage til Winlogon som et uigennemsigtigt udvalg af bytes sammen med navnet på en Autentifikationspakke .


Autentificeringspakken ved, hvordan man giver mening af den række bytes. Jeg vil bruge disse oplysninger til at logge ind, måske ved at få en Kerberos billet eller tjekke din adgangskode igen en gemt hash. Hvis alle tjekker ud, vil det give en sikkerhed TOKEN, der repræsenterer din bruger til Winlogon.


Næsten færdig.


Winlogon opretter en ny Vinduestation , med en Skrivebord ved navn 'Standard'. Jeg vil oprette processen identificeret af Userinit registreringsnøgle, normalt userinit.exe (medmindre computeren er en del af en botnet;). Denne proces kører med token fra godkendelsespakken.


Userinit udfører nogle opgaver, som om du opretter din profil, hvis dette er din første logon nogensinde. Det vil så starte din shell, normalt Explorer.exe , som vil læse forskellige opstartsparametre, ligesom alle de ulæselige ikoner ved siden af ​​uret.


Jeg har lagt de store milsten med fed skrift . Jeg foreslår, at du undersøger de dele, der interesserer dig, så vi bedre kan hjælpe dig ved at besvare et mere specifikt spørgsmål.

Andre referencer 1


Jeg tror, ​​at winlogon kaldes fra den rå input tråd, jeg kan ikke huske præcis hvordan, måske en begivenhed eller LPC. Hele punktet i C.A.D. er, at et normalt program ikke kan opfange det.


Du kan forsøge at efterligne det på Vista-systemer med en brugerdefineret GINA, der kalder WlxSasNotify. [3]