Ctrl + Alt +删除WM消息号

时间:2012-02-20 17:49:38

标签: windows security

任何人都知道按键时的窗口程序 Ctrl + Alt + Del ? 我询问按下这些键时返回的Windows程序消息号。我想知道所有可能的Windows版本(w7,xp,vista,...)上的数字。

2 个答案:

答案 0 :(得分:2)

Winlogon.exe 拦截安全注意序列(SAS),即CTRL-ALT-DEL。它是一个常规热键,注册了RegisterHotKey,但是由于Winlogon首先获得它,你不能用任何编程语言窃取它或禁用它。

当Winlogon收到SAS时,它会启动 LogonUI.exe 。 LogonUI是显示“tiles”的过程,即您在登录屏幕上看到的那些方块。每个方块都是凭据提供程序的实现。

凭据提供程序会收集您的凭据数据,通常是名称和密码。它将该信息作为不透明的字节数组以及身份验证包的名称发送回Winlogon。

身份验证包知道如何理解该字节数组。我将使用该信息登录您,可能是通过获取Kerberos票证或再次检查您的密码存储的哈希值。如果全部签出,它将向Winlogon提供代表您的用户的安全TOKEN

差不多完成了。

Winlogon创建一个新的 Window Station ,其中桌面名为“默认”。我将创建由 Userinit 注册表项标识的进程,通常是userinit.exe(除非您的计算机是僵尸网络的一部分;)。该进程使用身份验证包中的令牌运行。

Userinit执行某些任务,例如创建您的个人资料,如果这是您第一次登录。然后它将启动你的shell,通常是 Explorer.exe ,它将读取各种启动参数,就像时钟旁边所有那些不可读的图标一样。

我把主要的里程碑用粗体。我建议你研究一下感兴趣的部分,这样我们可以通过回答更具体的问题来更好地帮助你。

答案 1 :(得分:1)

我认为winlogon是从原始输入线程调用的,我不记得究竟是怎样的,可能是事件或LPC。 C.A.D.的重点是正常程序无法拦截它。

您可以尝试使用调用WlxSasNotify的自定义GINA在Vista之前的系统上模拟它。