Win7 修改Winlogon.exe进程代码

最新推荐文章于 2024-03-26 16:47:53 发布
最新推荐文章于 2024-03-26 16:47:53 发布
阅读量3.4k 收藏 4
点赞数
首先要说的我用的方法不一定是最好的,但是可能是最简单的,并且是可恢复的一种方法,程序向 winlogon.exe进程具体位置写入一个字节,屏蔽了Win+L。当然Ctrl+Alt+Del、Ctrl+Shift+Esc、Win+P等等都可以屏蔽,前提是你知道原理

原理不多说了,不明白的直接看http://bbs.pediy.com/showthread.php?t=159346

该程序演示了在 Win7如何禁止快捷键,程序中有一处硬编码,但估计 win7都差不多,如果不行的话请大家按照自己的真实情况修改相应偏移,反正我是测试成功了。

贴张屏蔽Win+L演示程序截图
名称: QQ截图20121202214231.png 查看次数: 0 文件大小: 11.0 KB

演示程序是64位,由于没32位  win7系统做测试,所有不知道具体偏移
发一下具体代码,Win+L的ID为5、Ctrl+Shift+Esc的ID为4、Ctrl+Alt+Del的ID为0

代码: 
/*
由进程名获取PID
*/
DWORD GetPidByProcessName(LPCTSTR pszName)
{
  PROCESSENTRY32    pe32;
  HANDLE        hSnapshot;

  hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if (hSnapshot == INVALID_HANDLE_VALUE)
    return -1;
  
  pe32.dwSize = sizeof(PROCESSENTRY32);
  if( !Process32First( hSnapshot, &pe32 ) )
  {
    CloseHandle(hSnapshot);
    return -1;
  }

  do
  {
    if(lstrcmpi(pe32.szExeFile, pszName) == 0)
    {
      CloseHandle(hSnapshot);
      return pe32.th32ProcessID;
    }
  }
  while ( Process32Next(hSnapshot, &pe32) );

  CloseHandle(hSnapshot);

  return -1;
}

/*
禁止Win+L热键,参数bDisable表示是否禁止
*/
BOOL DisableHotKey(BOOL bDisable)
{
  UCHAR      uchOrigCode[] = {0x05};
  UCHAR      uchHookCode[] = {0x25};
  UCHAR      uchReadCode[] = {0x00};
  LPVOID      lpReadAddress;
  DWORD      dwPID;
  HANDLE      hProcess;
  HMODULE      lphModule[512];
  DWORD_PTR    dwReturn;
  DWORD      dwOldProtect;
  INT        i;

  //查找winlogon.exe进程PID
  if(!(dwPID = GetPidByProcessName(_T("winlogon.exe"))))
    return FALSE;
  
  //打开进程
  if(!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
    return FALSE;

  //枚举进程模块
  if(!EnumProcessModules(hProcess, lphModule, sizeof(lphModule), (LPDWORD)&dwReturn))
  {
    CloseHandle(hProcess);
    return FALSE;
  }
  
  //进程加载基址加上偏移
  lpReadAddress = (LPVOID)((LPSTR)lphModule[0] + 0x1710D);
  if(bDisable)
  {
    //读取原地址字节
    if(!ReadProcessMemory(hProcess, lpReadAddress, uchReadCode, sizeof(uchReadCode), &dwReturn))
    {
      CloseHandle(hProcess);
      return FALSE;
    }

    //判断是否是要修改的字节
    for(i=0; i<sizeof(uchReadCode)/sizeof(UCHAR); i++)
    {
      if(uchReadCode[i] != uchOrigCode[i])
      {
        CloseHandle(hProcess);
        return FALSE;
      }
    }

    //将Win+L的ID从5改成25
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchHookCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect);
    WriteProcessMemory(hProcess, lpReadAddress, uchHookCode, sizeof(uchHookCode), &dwReturn);
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchHookCode), dwOldProtect, &dwOldProtect);
  }
  else
  {
    //读取原地址字节
    if(!ReadProcessMemory(hProcess, lpReadAddress, uchReadCode, sizeof(uchReadCode), &dwReturn))
    {
      CloseHandle(hProcess);
      return FALSE;
    }

    //判断是否是要修改的字节
    for(i=0; i<sizeof(uchReadCode)/sizeof(UCHAR); i++)
    {
      if(uchReadCode[i] != uchHookCode[i])
      {
        CloseHandle(hProcess);
        return FALSE;
      }
    }

    //恢复
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchOrigCode), PAGE_EXECUTE_WRITECOPY, &dwOldProtect);
    WriteProcessMemory(hProcess, lpReadAddress, uchOrigCode, sizeof(uchOrigCode), &dwReturn);
    VirtualProtectEx(hProcess, lpReadAddress, sizeof(uchOrigCode), dwOldProtect, &dwOldProtect);
  }

  CloseHandle(hProcess);
  return TRUE;
}
本演示程序只有64位,请务必在 win7 64位运行,32位的想必也差不多
linfei2707
关注
MATLAB知识点积累
业精于勤,荒于嬉
02-27 788
x(:)表示将矩阵x转换成列向量。
Windows 事件日志中显示了 `C:\WINDOWS\system32\winlogon.exe` 进程(代表系统用户 NTAUTHORITY\SYSTEM)...如何解决?
最新发布
**My Coding Family**
04-26 1016
🏆本文收录于《全栈Bug调优(实战版)》专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!! 备注:部分问题/疑难杂症搜集于互联网。
Win7 修改Winlogon.exe进程一个字节禁止Ctrl+Alt+DelWin+L等任意系统热键
weixin_30258027的博客
06-28 447
本文系转载,原文已被原作者删除。标 题: 【原创】Win7 修改Winlogon.exe进程一个字节禁止Ctrl+Alt+DelWin+L等任意系统热键 作 者: heiheiabcd 时 间: 2012-12-01,10:08:55 链 接: http://bbs.pediy.com/showthread.php?t=159346 由于想做个屏幕锁程序,因此想研究了下Win7Ctrl+Al...
win7 修改winlogon内存 禁用Ctrl+Alt+Delete
心野
07-21 2607
win7 修改winlogon内存 禁用Ctrl+Alt+Delete工具: WinDbg Winhex WinDbg1.右键管理员运行,否则无法Attach到Winlogon进程2.设置Symbol 地址File - Symbol File Path(Ctrl+S) srv*c:\symbolslocal*http://msdl.microsoft.com/download/symbols;
win7 X64 进程名称不一致,导致杀进程失效!
weixin_34127717的博客
10-26 219
win7 x86, 或 win10 x64 环境下, x86的进程名称 ”aaa.exe“ 在win7 x64下面显示为 ”aaa.exe *32“ 转载于:https://www.cnblogs.com/leavind/p/7737693.html
Windows 设置开机自动登录(修改注册表)
qq_45952127的博客
03-26 3224
开机自动登录
【超级鼠标键盘锁】之winlogon.exe进程调试
业精于勤,荒于嬉
02-26 448
至此,除了Ctrl+Alt+DelWin+L组合键之外,其他能想到的按键和鼠标都屏蔽了,对于这两个组合键的屏蔽,看下论坛中有位前辈heiheiabcd很早之前就写了一篇文章: https://blog.csdn.net/linfei2707/article/details/25237671 文章提到四种想法,其中第四种方法堪称完美,好像这也是不用驱动实现屏蔽这两个组合键的最佳方法了。 一、window7系统winlogon.exe调试 经过初步的调试,从之前实现结果可以看到,这种方法存在很大的缺陷:由于w
在XP/2K/Vista/Win7中隐藏进程的技术实现
Windows中,进程列表是由系统进程(如System、services.exewinlogon.exe等)以及用户启动的程序组成的。系统通过调用Windows API函数来枚举当前系统运行的所有进程进程隐藏的实现原理一般有以下几种: 1. *...
Windows登录示例代码:经典样例的win7兼容性分析
- 在Windows 7中,登录界面被称为Winlogon,这是一个安全的系统进程,负责处理用户的登录和注销事件。 2. 管理员登录与普通用户登录的区别: - 管理员账户拥有对系统进行更改的权限,包括安装和卸载程序、更改...
mt.exe.一个不错的东西,功能很强大
空虚浪子心的blog
11-17 2130
作者未知...测试环境: 主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方) 客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的) 网络环境:网卡,8029-8139,双机互连. MT.EXE是一个网络管理方
C++ 自定义winlogon 程序sample
10-13
VS2005 C++编写 很完整的如何修改添加winlogon安全桌面的DLL DEBUG建议两台电脑或者虚拟机形式! 主代码38MB传不了那么多分开传吧
winlogon_锁定关机事件
04-12
winlogon_锁定关机事件 调用过程, 测试等
打开进程,等操作 openProcess
rains2008的专栏
05-18 658
E:\EClient\复件打包配置2\setup (工程:) BOOL CSetupDlg::OpenProcess(CString lpCmd , DWORD dwWaitTime ) { STARTUPINFO stinfo; PROCESS_INFORMATION procinfo; memset(&stinfo,0,sizeof(stinfo)); stinfo.c
winlogon进程的hook
InkSnail的专栏
02-20 3047
 原始链接:http://hi.baidu.com/tedasnow/blog/item/3a8b38d341b525003af3cfb6.html 要将hook注入winlogon进程需要特定权限,要在localsystem权限下运行。NT/2000中交互式的登陆支持是由WinLogon调用GINA DLL实现的,GINADLL提供了一个交互式的界面为用户登陆提供认证请求。在
WinLogon登录管理和GINA简介 (转)
热门推荐
在线笔记
10-08 1万+
http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows XP的登录验证机制比Windows 98严格很多,理解并掌握Windows XP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。     
注入Winlogon进程示例代码
jingzu的专栏
11-13 1551
注入Winlogon进程示例代码作者:未知   来源:本站整理    更新日期:2006-11-09    浏览次数: “Winlogon通知包(Winlogon Notification Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon Notification Package”来监视winlogon事件的响应。你可以注册这些DLL,那么wi
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值