Windows NT WinLogon Notify

在NT系列Windows操作系统中,恶意软件可以通过关联Winlogon特定的事件来使自身被启动,如Lock,Logoff,Logon,Shutdown,StartScreenSaver,StartShell,Startup,StopScreenSaver,Unlock等,这甚至能够使得恶意软件在安全模式下被加载。WinLogon的通知事件在注册表的位置是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

当WinLogon.exe产生一个事件通知的时候,Windows会检查注册表里面指定的DLL并调用DLL指定的导出函数。示例(当屏幕锁定时调用WinLogonDemo.dll导出的LockFun函数):

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Test]
@=""
"DLLName"="WinLogonDemo.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Lock"="LockFun"

从Windows Vista开始,这项特性被取消了。可以通过注册一个服务来监听相应的事件(部分事件不支持),参见Using Service Control Manager (SCM) Notifications

http://www.programlife.net/windows-nt-winlogon-notify.html

时间: 2024-10-10 21:18:04

Windows NT WinLogon Notify的相关文章

第一章 Windows NT System Components

Page 3. The focus(焦点) of this book is Windows NT file system and the interaction(交互) of the file system with the other core(核心) operating system components(组件,部分).If you are interested   in providing(提供) value-added(增值) software for the Windows NT pl

SharePoint 创建SSP时出现异常,信息如 设置失败: 找不到 Windows NT 用户或组 '【

1.安装完sharepoint后,使用"sharepoint产品和技术配置向导"配置时,中间有连接sql server时输入的用户名和信息,(如果域是test.com)切记只能输入test/administrator的用户名格式.   2.如果还有这样的问题,可以打上sharepoint的补丁包,参考网址:    http://support.microsoft.com/kb/953471 SharePoint 创建SSP时出现异常,信息如 设置失败: 找不到 Windows NT 用

SQLServer 错误: 15404,无法获取有关 Windows NT 组/ 用户 'WIN-8IVSNAQS8T7\Administrator' 的信息,错误代码 0x534。

在自动清理日志的作业中,执行过程出现如下问题:"SQLServer 错误: 15404,无法获取有关 Windows NT 组/ 用户 'WIN-8IVSNAQS8T7\Administrator' 的信息,错误代码 0x534." 解决方法:打开作业的常规界面,把这个"WIN-I556UB3ODG2\Administrator"改成:"可以操作的用户(比如 sa)". 自动清理日志的代码: ALTER DATABASE 数据库名称 SET RE

Windows NT

---------siwuxie095 Windows NT,全称 Microsoft Windows New Technology (无关小贴士:NTFS 全称 New Technology File System) 查看操作系统名称: @echo off echo %OS% pause>nul sublime中: 运行一览: 仅仅一个 Windows_NT,还是无法判断具体是什么操作系统, 截止目前 2017/2/6,微软已推出的 Windows NT 操作系统, 分别是: Microsof

开源并兼容Windows NT的操作系统ReactOS简介

*************************************************************************************************************************** 作者:EasyWave                                                               时间:2014.10.06 类别:开源Windows NT系统-ReactOS操作系统简介      声

windows下dbca删除OracleserviceXXX时遇到错误:dim-00014 Cannot open the Windows NT Service Control Manager

windows下dbca删除OracleserviceXXX时遇到错误:dim-00014 Cannot open the Windows NT Service Control Manager  O/S-Error: (OS 5) Access is denied. 截图如下: 经过查询mos,发现如下文章与该报错匹配: How To Create a Service using oradim in Windows Vista (文档 ID 432713.1) 下面截取该mos文章的内容: Ap

Windows NT 的历史

Windows NT 的版本历史 https://blog.csdn.net/flyingpig2016/article/details/53282895/ 按照自己找到的资料:windows NT 是 MS与IBM 闹掰了之后 自己研发的 是从 DEC 请来了 大拿 微软自己投钱研发的新一代曹组系统. 因为 微软当时负责 OS/2 3.X的版本. 所以 NT最初的版本就是NT 3.1了 (自己瞎猜的) 注意 这里面windows NT和 windows 95 windows 98 不一样 wi

[转帖]windows7/windows NT介绍

windows7/windows NT介绍 原文应该是IT168发布的 但是一直没找到 感觉看了之后 明白了很多 技术都是互相融合的 没有严格意义上的对立直说. Windows 7/Windows Server 2008 R2发布已经有近一个月了,加上RC/beta阶段,相信很多人都已经接触或者使用过了.很多人都已经知道在界面,以及DirectX.图形架构上的改进,然而却很少有清晰.令人信服的资料,说明操作系统 变得更快强.更强.更稳定,有的只是功能变的更加复杂了.有没有最基本.最核心的改动,可

Windows NT/NTLM 加密

Hash,一般翻译为“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值.这种转换是一种压缩映射,也就是散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值.简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数. 一.MD5 和 SHA1 可以说是目前应用最广泛的Hash算法,而它们都是以 MD4 为基础设计的.那么他们都是什么意思呢?这里