该实用程序自动定位winlogon.exe、窃取和模拟它的进程令牌,并使用被盗令牌生成一个新的系统级进程。...执行以下步骤以从低权限管理员升级到 SYSTEM: 提升 通过使用 CreateToolhelp32Snapshot、Process32First 和 Process32Next 枚举系统运行进程来定位 winlogon.exe...进程 通过调用 AdjustTokenPrivileges 为当前进程启用 SeDebugPrivilege,因为它需要打开 winlogon.exe 的 HANDLE winlogon.exe 进程的句柄是通过调用...OpenProcess 打开的,因为这个调用使用了 PROCESS_ALL_ACCESS(但是,它是多余的) 通过调用 OpenProcessToken 并结合先前获得的进程句柄来检索 winlogon...的进程令牌的句柄 通过调用 ImpersonateLoggedOnUser 来模拟 winlogon 的用户(SYSTEM) 通过使用 SecurityImpersonation 调用 DuplicateTokenEx
,而且用户是当前用户的,有那就中招了.下面给出他的资料和专杀工具. winlogon.exe病毒的查杀方法这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程...正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。...正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。...WINLOGON.EXE!做了这么多工作目的就是要干掉她!!! C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。...真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM, 而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
而如果没有在ProfileList找到对应的SID键值,Winlogon会再次尝试确定用户配置文件是否存在。...Winlogon makes one more attempt to determine if the user profile exist when it cannot locate neither...Winlogon does this by checking for the logging on user’s unique Identifier....Winlogon queries the domain for the currently logging on users unique identifier and then looks for a...If the user’s unique ID registry key exists, then Winlogon looks up string registry value SidString ,
该工具能够实现UAC以及其他一些Windows内置功能的绕过,该工具能够自动定位winlogon.exe,并能够窃取和模拟该程序的进程令牌,然后使用窃取来的令牌生成一个新的系统级进程。...SYSTEM的步骤流程: 工具运行流程 1、工具通过使用CreateToolhelp32Snapshot、Process32First和Process32Next来枚举目标系统中正在运行的进程以查找定位winlogon.exe...; 2、通过调用AdjustTokenPrivileges来为当前进程启动SeDebugPrivilege,因为我们需要为winlogon.exe开启一个句柄; 3、通过调用OpenProcess来打开一个...winlogon.exe进程句柄,此时将会调用到PROCESS_ALL_ACCESS; 4、工具将通过调用OpenProcessToken并结合之前获得的进程句柄来检索winlogon的进程令牌句柄;...5、通过调用ImpersonateLoggedOnUser来伪造winlogon用户; 6、通过使用SecurityImpersonation来调用DuplicateTokenEx并复制伪造的令牌句柄,
内核创建会话管理器进程(Winlogon.exe)。会话管理器启动阶段会话管理器(Winlogon.exe)负责用户登录。Winlogon显示登录界面,用户输入凭据。...Winlogon验证用户身份,加载用户配置文件。用户登录阶段用户配置文件包括用户的桌面设置、程序启动项等。启动用户级别的进程,如系统托盘、网络连接等。
ClearPageFileAtShutdown" /d 0 /t REG_DWORD /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultPassword" /d $Password /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
null会弹窗,选"是"来卸载铁将军然后执行这3句来配置自动登录,执行命令前先密码具体化reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.../v "DefaultPassword" /d "密码" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run # Winlogon...\Userinit键 HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon HKEY_LOCAL_MACHINE\...SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 关键词:注册表启动键值,类似的键值很多, 使用以下命令可以一键实现无文件注册表后门: reg...HKEY_CURRENT_USER\Environment\ 创建字符串键值: UserInitMprLogonScript,键值设置为bat的绝对路径:c:\test.bat userinit后门 在用户进行登陆时,winlogon...利用USERINIT注册表键实现无文件后门: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit
#具体化密码 #具体化密码 #具体化密码 #设置自动登录 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v...DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
目录的可执行脚本来自动挂cfs步骤:1、配置自动登录3句命令:注意第2句,要具体化自己的密码reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.../v "DefaultPassword" /d "密码" /t REG_SZ /freg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Windows\目录下 #具体化密码 #具体化密码 #具体化密码 #设置自动登录 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在线密码工具生成随机复杂密码,注册表的密码要跟系统真实密码匹配,否则自动登录无效) reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Error Reporting Debugger Windows Error Reporting ReflectDebugger Command Prompt AutoRun Explorer Load Winlogon...Userinit Winlogon Shell Windows Terminal startOnUserLogin AppCertDlls DLL Injection App Paths Hijacking...ServiceDll Hijacking Group Policy Extensions DLLs Winlogon MPNotify CHM Helper DLL Hijacking of hhctrl.ocx...ServerLevelPluginDll DNS Server DLL Hijacking LSA Authentication Packages DLL LSA Security Packages DLL Winlogon
用户Administrator,关机:没有找到这个原因的标题 关机类型:关机 原因代码:0x800000ff 控制台-正常关机 EventID=1074 进程:C:\Windows\system32\winlogon.exe...用户Administrator,重启:没有找到这个原因的标题 关机类型:重启 原因代码:0x800000ff 控制台-正常重启 EventID=1074 进程:C:\Windows\system32\winlogon.exe...systempropertiesadvanced.exe,用户Administrator,重启:操作系统:重新配置(计划内) 关机类型:重启 原因代码:0x84020004 EventID=1074 进程:C:\Windows\system32\winlogon.exe...shutdown.exe,用户SYSTEM,重启:没有找到这个原因的标题 关机类型:重启 原因代码:0x800000ff 如:卸载360 EventID=1074 进程:C:\Windows\system32\winlogon.exe
RegistryKey subKey = Registry.LocalMachine.CreateSubKey(@"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...RegistryKey subKey = Registry.LocalMachine.CreateSubKey(@"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
执行前先把命令里的密码具体化成你服务器的密码再执行 先具体化密码再执行 先具体化密码再执行 先具体化密码再执行 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...disable_display2" /st 00:00 /sd 1900/01/01 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
WinlogonHack工具软件截取密码原理 (1)Gina.dll与Msgina.dll Gina.dll在NT/2000中交互式的登陆支持是由WinLogon调用Gina.dll实现的,Gina.dll...WinLogon会和Gina.dll进行交互,缺省是msgina.DLL(在System32目录下)。微软同时也为我们提供了接口,我们可以自己编写Gina.dll来代替Msgina.dll。...WinLogon初始化时会创建3个桌面: (1)Winlogon桌面:主要显示Windows 安全等界面,如你按下“CTRL+ALT+DEL”快捷看所出现的登陆的界面等。...启动就用winlogon通知包,当有3389,连上服务器时。...新创建的 winlogon.exe会在登录前加载,注册了 “Startup”的dll,Hook了函数,登录成功后,记录密码到 boot.dat 文件,并取消Hook。
一、最基本的系统进程 也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行 1、smss.exeSession Manager 2、csrss.exe子系统服务器进程 3、winlogon.exe...本地安全身份验证服务器,它生成的进程将负责验证用户的身份以使用Winlogon 服务。该进程通过使用身份验证程序包(如默认的Msgina.dll)来执行。...该进程由系统线程启动,并负责各种活动,其中包括启动Winlogon 和Win32 (Csrss.exe) 进程以及设置系统变量。当它启动这些进程后,它将等待Winlogon 或Csrss 结束。...这是任务管理器自身的进程 Winlogon.exe - 您无法从任务管理器中结束此进程。 该进程负责管理用户登录和注销。...此外,仅当用户按Ctrl+Alt+Del 时,Winlogon 才会被激活,此时它会显示安全对话框。 Winmgmt.exe- 您无法从任务管理器中结束此进程。
\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce (向右滑动,查看更多) Logon Helper 在注册表的 Winlogon...(HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) 区域提取到明文帐号密码,但实际上我们也可以用来实现持久化。...我们注意到,一些条目指向可执行文件,例如 Userinit HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitHKLM...\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKLM\Software\Microsoft\Windows NT\CurrentVersion...\Winlogon\shell (向右滑动,查看更多) 我们直接替换的话,可能影响原本功能,因此我们额外添加要运行的程序及参数。
禁用 "将远程桌面服务用户限制到单独的远程桌面服务会话"--启用 ②配置自动登录 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...DefaultUserName" /d "Administrator" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...,只有Server2022完美) 步骤如下 一、远程上去执行命令 注意具体化密码 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...v "DefaultPassword" /d "密码" /t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
