Partilhar via

Depurando o WinLogon

  • Artigo

WinLogon é o processo de modo de usuário que manipula a tarefa de usuários interativos fazendo logon e fazendo logoff e manipula todas as instâncias de CTRL+ALT+DELETE.

Controlando o NTSD do Depurador do Kernel

A maneira mais fácil de depurar o WinLogon é usar o NTSD e controlá-lo do depurador de kernel.

Habilitando a depuração do WinLogon

Como você redirecionará a saída do depurador no modo de usuário para o depurador de kernel, será necessário configurar uma conexão de depuração de kernel. Confira Como configurar para depuração.

Para anexar um depurador ao WinLogon, você deve passar pelo Registro para que o processo seja depurado a partir do momento em que ele é iniciado. Para configurar a depuração do WinLogon, defina HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Depurador como:

ntsd -d -x -g

A opção -d passa o controle para o depurador de kernel. A opção -x faz com que o depurador capture violações de acesso como exceções de segunda chance. A opção -g faz com que o processo do WinLogon seja executado após o anexo. Não adicione -g se você quiser iniciar a depuração antes de Winlogon.exe começar (por exemplo, se você quiser definir um ponto de interrupção inicial).

Além disso, você deve definir o valor GlobalFlag na chave winlogon.exe para REG_DWORD "0x000400F0". Isso define a verificação de heap e FLG_ENABLE_KDEBUG_SYMBOL_LOAD. No entanto, como esse segundo sinalizador afeta apenas o depurador de kernel, os símbolos também devem ser copiados para o computador de destino antes de iniciar o depurador.

A alteração do Registro requer uma reinicialização para entrar em vigor.

Executando a depuração

Após a próxima reinicialização, o depurador entrará no WinLogon automaticamente.

Consulte Controlando o depurador de User-Mode do Depurador do Kernel para obter uma explicação de como proceder.

Você precisará definir o caminho do símbolo para um local no computador host ou para algum outro local em sua rede. Quando o WinLogon estiver sendo depurado, a autenticação de rede no computador de destino não funcionará corretamente.