Debugging WinLogon

WinLogon adalah proses mode pengguna yang mengelola tugas pengguna interaktif yang masuk dan mematikan sesi, serta menangani semua kejadian CTRL+ALT+DELETE.

Mengontrol NTSD dari Debugger Kernel

Cara term mudah untuk men-debug WinLogon adalah dengan menggunakan NTSD dan mengontrolnya dari debugger kernel.

Mengaktifkan Debugging WinLogon

Karena Anda akan mengalihkan keluaran dari debugger di mode pengguna ke debugger kernel, Anda perlu menyiapkan koneksi debugging kernel. Lihat Menyiapkan untuk Debugging.

Untuk melampirkan debugger ke WinLogon, Anda harus melalui registri sehingga proses di-debug sejak dimulai. Untuk menyiapkan debugging WinLogon, atur HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Debugger ke:

ntsd -d -x -g 

Opsi -d meneruskan kontrol ke debugger kernel. Opsi -x menyebabkan debugger mengambil pelanggaran akses sebagai pengecualian kesempatan kedua. Opsi -g menyebabkan proses WinLogon berjalan setelah lampiran. Jangan tambahkan -g jika Anda ingin memulai debugging sebelum Winlogon.exe dimulai (misalnya, jika Anda ingin mengatur titik henti awal).

Selain itu, Anda harus mengatur nilai GlobalFlag di bawah kunci winlogon.exe ke REG_DWORD "0x000400F0". Ini mengatur pemeriksaan timbunan dan FLG_ENABLE_KDEBUG_SYMBOL_LOAD. Namun, karena bendera kedua ini hanya memengaruhi debugger kernel, simbol juga harus disalin ke komputer target sebelum memulai debugger.

Perubahan registri memerlukan pemulihan ulang agar berlaku.

Pemecahan Masalah

Setelah reboot berikutnya, debugger akan masuk ke WinLogon secara otomatis.

Lihat Mengontrol debugger User-Mode dari Debugger Kernel untuk penjelasan cara melanjutkannya.

Anda harus mengatur jalur simbol Anda ke lokasi di komputer host Anda atau ke beberapa lokasi lain di jaringan Anda. Ketika WinLogon sedang di-debug, autentikasi jaringan pada komputer target tidak akan berfungsi dengan baik.