Programul de conectare ( Windows Logon ) este o componentă a sistemului de operare Microsoft Windows care este responsabilă pentru conectarea la sistem.
Procesul executabil este winlogon.exe. Este început printr-un proces smss.exe, care începe, de asemenea, un proces csrss.exe. Pentru a implementa un dialog cu utilizatorul, se folosește biblioteca GINA . Programul de autentificare se ocupă de tastele Ctrl++ și Alt++ . încarcă și execută cod din bibliotecile pachetelor de notificare Winlogon . Astfel de biblioteci sunt folosite de sistem, programe și viruși.DelCtrl⇧ ShiftEscWinlogon.exe . Acestea nu sunt acceptate în Windows Vista [1] sau versiuni ulterioare de Windows.
Procesul winlogon.exeprin WinAPI standard nu poate fi închis. Acest lucru necesită privilegiulSE_DEBUG .
Dacă încă închideți procesul, pe ecran va apărea un ecran albastru al morții cu următorul mesaj:
c000021a {Eroare fatală de sistem} Procesul de conectare la Windows s-a încheiat în mod neașteptat cu o stare...
care este o consecință a declanșării unui set de protecție specială pentru proces de către o funcție de bibliotecă winlogon.exenedocumentatăRtlSetProcessIsCriticalntdll.dll .
În versiunea rusă a sistemului de operare, ecranul va fi umplut cu caractere ASCII, care, atunci când sunt decriptate, înseamnă:
c000021a {} Încheierea neașteptată a procesului de sistem Windows Logon Process cu starea...
Motivul unei astfel de eșecuri poate fi umplerea discului de sistem până la limită, când spațiul este eliberat, totul revine la normal . Începând cu Windows Vista , terminarea unui proces winlogon.exeprovoacă o deconectare imediată în loc de o blocare .
Programul de conectare începe prin a fi un proces care rulează smss.exe. După câțiva pași pregătitori, afișează o solicitare de conectare. În timpul încărcării sistemului de operare lsass.exeși pornește services.exe. Dacă noul stil de ecran de întâmpinare este activ, se începe un proces pentru a-l afișa logonui.exe. După conectare, programul de conectare rulează comenzile specificate în setarea WindowsUserinit Registry - de obicei userinit.exe, care la rândul său lansează programele specificate în setare Shell - de obicei explorer.exe.
Virușii și alte programe malware își pot adăuga bibliotecile pachetelor de notificări Winlogon și pot modifica setările Shellși Userinitpot infecta sistemul. Numele winlogon.exeeste folosit de unii viruși, astfel încât toate fișierele cu același nume situate într-un folder altul decât %SYSTEMROOT%\system32și sunt suspecte %SYSTEMROOT%\dllcache. Prin redenumirea aplicației dorite în, puteți realiza lansarea acesteia cu %SystemRoot%\System32\logon.scr,drepturi de utilizator SISTEM după 10 minute de așteptare a numelui de utilizator și a parolei pentru a intra în sistem .