Какво представлява процесът winlogon.exe в Windows
Пропускайки детайлите на етапа на ниско ниво на зареждане на операционната система, процесът на зареждане на Windows може да бъде описан по следния начин: подсистемата за управление на сесии и така нареченият клиентски сървър по време на изпълнение се обръщат към програмата за влизане.
Програмата за влизане е файлът winlogon.exe, който е достъпен от горните процеси. От този момент започва обратното броене на интерактивното взаимодействие между системата и потребителя. Следователно ще бъде полезно за всеки квалифициран потребител да знае какво представлява процесът winlogon.exe.
Не е възможно взаимодействие с потребителя без отговор на щракване върху клавишите на клавиатурата. От самото начало на работата си процесът winlogon.exe предоставя на потребителя тази възможност. На първо място се използва реакцията към стандартните клавишни комбинации. След това програмата за влизане зарежда библиотеките за известия. Те се използват за проверка на правилността на въвеждане на потребителско име и парола, ако те са зададени от потребителя.
След това процесът на стартиране се разгръща по веригата. winlogon.exe активира системния регистър и изпълнява набор от команди за стартиране, записани в един от неговите клонове. След това Shell се активира и стартира Explorer, който от своя страна е в основата на интерфейса на Windows.Характеристики на програмата за влизане
Процесът winlogon.exe принадлежи към категорията "неубиваеми".Той не може да бъде изтрит от списъка с изпълними файлове с помощта, например, на "Диспечер на задачите". Би било невероятно, ако проработи за някого. Но това може да стане с помощта на специализиран софтуер, например помощната програма "Process Explorer". За да "потиснете" тази услуга програмно, не е достатъчно да използвате API от най-високо ниво. Това ще изисква получаване на привилегии на ниво ядро, което го прави много по-труднопрограмиране на такава задача.
Ако все пак успеете да убиете услугата за влизане по време на Windows сесия, няма да видите нищо интересно освен "crakozyabrov" на екрана. Windows ще бъде спрян и компютърът ще трябва да се рестартира чрез натискане на бутона на системния модул.
Въпреки факта, че процесът winlogon.exe не се проявява външно, той все още има свой собствен прозорец. Само този прозорец се появява на екрана и е невидим. Въпреки това, в опашката за съобщения на този прозорец попадат всички кодове за натискане на клавиши на клавиатурата. И едва тогава те достигат до прозорците на потребителя. Някои от клавишните комбинации този прозорец не преминава по-нататък и запазва за себе си. Следователно няма да е възможно да се присвои друга функция, освен функцията за превключване на прозорци.Експерименти с буутлоудъра
По темата за експериментите с процеса winlogon.exe можете да напишете, ако не роман, тогава дълга история. Кой не е имал пръст в това. Започвайки от напълно почтени граждани, които искат да получат допълнителни удобства в Windows и завършвайки с безотговорни безделници, с големи познания в програмирането и злонамерени писатели на вируси.
Някои интересни експерименти се основават на факта, че програмата за влизане има директен достъп до отделни ключове в регистъра. Но той не просто чете информация там, но стартира други програми, чиито имена са написани в тези ключове. Така че, ако промените тези имена, можете да постигнете доста нестандартна реакция на системата към процеса на стартиране.
Например, покажете на потребителя различна картина от тази, която се появява, когато откажете да въведете потребителско име и парола. Както се оказа, процесът winlogon.exe също е отговорен за извеждането на системни съобщения. Той също така отваря големи възможности за любителите да копаят в недрата на Windows.
Нонай-голямото оплакване е използването на този процес като основа за цяла група вируси. Някои вируси успешно имитираха задачата за влизане и се оказаха способни да причинят голяма вреда на потребителя.
Трябва да се помни, че всеки файл със същото име като програмата за влизане, разположен някъде извън папките "system32" и "dllcache", почти сигурно е вирус.
Изтрийте такива подозрителни файлове веднага щом ги намерите.