Программа входа в систему
Программа входа в систему (Windows Logon) — компонент операционной системы
Краткий обзор
Исполняемым файлом процесса является winlogon.exe
. Он запускается процессом Winlogon.exe
подгружает и выполняет код из библиотек Winlogon notification packages. Такие библиотеки применяются системой, программами и вирусами[источник не указан 4671 день]. Они не поддерживаются в Windows Vista[1]
Критичность процесса
Процесс winlogon.exe
через стандартный WinAPI невозможно закрыть. Для этого требуется привилегия SE_DEBUG
[источник не указан 4671 день].
Если всё-таки закрыть процесс, на экране появится синий экран смерти со следующим сообщением:
c000021a {Fatal System Error} The Windows logon system process terminated unexpectly with a status…
что является следствием срабатывания специальной защиты, установленной для процесса winlogon.exe
недокументированной функцией RtlSetProcessIsCritical
библиотеки ntdll.dll
[источник не указан 4671 день].
В русской версии операционной системы экран заполнится символами ASCII, которые при расшифровке значат:
c000021a {} Непредвиденное завершение системного процесса Windows Logon Process с состоянием…
Причиной такого сбоя может быть заполнение системного диска до предела, при освобождении места всё возвращается в норму[источник не указан 4671 день].
Начиная с Windows Vista завершение процесса winlogon.exe
вызывает немедленный выход из системы вместо сбоя[источник не указан 4671 день].
Функции
Программа входа в систему начинает работу, будучи запущенной процессом smss.exe
. После некоторых подготовительных действий она отображает приглашение ко входу в систему. В ходе загрузки операционной системы запускается
.
Использование вредоносными программами
![]() | Этот раздел исправив и дополнив его. |
Вирусы и другие вредоносные программы могут добавлять свои библиотеки Winlogon notification packages и изменять параметры Shell
и Userinit
для заражения системы. Имя winlogon.exe
используют некоторые вирусы, поэтому подозрительными являются все файлы с таким именем, находящиеся в папке, отличной от %SYSTEMROOT%\dllcache
. Переименовав нужное приложение в %SystemRoot%\System32\logon.scr,
можно добиться его запуска с правами пользователя SYSTEM через 10 минут ожидания ввода имени пользователя и пароля для входа в систему[источник не указан 4671 день
Примечания
- ↑ Winlogon Notification Packages Removed: Impact on Windows Vista Planning and Deployment . Дата обращения: 27 сентября 2008. Архивировано из оригинала 13 мая 2013 года.
![]() | В другом языковом разделе есть более полная статья Winlogon (англ.). |