Опуская подробности низкоуровневой стадии загрузки операционной системы, процесс загрузки системы Windows можно описать следующим образом: подсистема управления сеансами и так называемый клиентсервер времени выполнения обращаются к программе входа в систему.
Программа входа в систему представляет собой файл winlogon.exe, к которому и обращаются вышеупомянутые процессы. Именно с этого момента начинается отсчет времени интерактивного взаимодействия системы и пользователя. Поэтому знать о том, что за процесс winlogon.exe – будет полезно каждому квалифицированному пользователю.
Никакое взаимодействие с пользователем невозможно без отклика на щелчки по клавишам клавиатуры. С самого начала своей работы процесс winlogon.exe предоставляет пользователю такую возможность. В первую очередь задействуется реакция на стандартные клавиатурные комбинации . Далее программа входа в систему загружает библиотеки нотификации. С их помощью производится проверка правильности ввода логина и пароля, если такие установлены пользователем.
Дальше процесс запуска разворачивается по цепочке. winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. После этого активируется Shell и запускает Explorer, который, в свою очередь, является основой интерфейса Windows.
Особенности программы входа в систему
Процесс winlogon.exe относится к категории «неубиваемых». Его невозможно вычеркнуть из списка исполняемых воспользовавшись, например, «Диспетчером задач». Было бы странно, если бы это у кого-то получилось. Зато это можно сделать при помощи специализированного программного обеспечения, например, — утилиты «Process Explorer». Для того чтобы «прихлопнуть» эту службу программным способом, недостаточно использования API верхнего уровня. Для этого потребуется получение привилегий уровня ядра, что значительно усложняет программирование такой задачи.
Если вам все-таки удастся уничтожить службу входа в систему во время сеанса работы в Windows, то ничего интересного, кроме «кракозябров» на экране, вы не увидите. Windows будет остановлен, и компьютер придется перезагружать нажатием кнопки на системном блоке.
Не смотря на то, что процесс winlogon.exe никак не проявляет себя внешне, он все же имеет собственное окно. Только это окно не отображается на экране и является невидимым. Однако именно в очередь сообщений этого окна попадают все коды нажатий клавиш на клавиатуре. И только потом они поступают к окнам пользователя. Некоторые из клавиатурных комбинаций это окно не пропускает дальше и резервирует за собой. Поэтому назначить какую-нибудь другую функцию, кроме функции переключения окон, — не удастся.
Эксперименты с загрузчиком
На тему экспериментов с процессом winlogon.exe можно написать если не роман, то большую повесть. Кто только не приложил к этом руку. Начиная от вполне добропорядочных граждан, стремящихся заполучить дополнительные удобства в Windows и заканчивая безответственными лодырями, с большими познаниями в программировании, и злостными вирусописателями.
Некоторые любопытные эксперименты основаны на том, что программа входа в систему напрямую обращается к отдельным ключам реестра. Да не просто читает там информацию, а запускает другие программы, имена которых в данных ключах прописаны. Следовательно, если изменить эти имена, то можно добиться довольно нестандартной реакции и системы на процесс запуска.
Например, подсунуть пользователю иную картинку, чем та, которая возникает при отказе от ввода логина и пароля. Как выяснилось, процесс winlogon.exe ответственен и за озвучивание системных сообщений. Это также открывает большие возможности для любителей покопаться в потрохах Windows.
Но самые большие нарекания вызывает использование данного процесса, как основы для целого выводка вирусов. Некоторые вирусы успешно мимикрировали под задачу входа в систему и оказались способны нанести большой вред пользователю.
Нужно помнить, что любой файл с таким же, как у программы входа в систему именем, расположенный где-либо за пределами папок «system32» и «dllcache» — это практически наверняка вирус.
Удаляйте такие подозрительные файлы сразу же, как только обнаружите.
Источник: