Отладка WinLogon

WinLogon — это процесс пользовательского режима, который обрабатывает задачу интерактивного входа пользователей и выхода из системы, а также обрабатывает все экземпляры CTRL+ALT+DELETE.

управление NTSD из отладчика ядра

Самый простой способ отладки WinLogon — использовать NTSD и управлять им из отладчика ядра.

Включение отладки WinLogon

Так как вы будете перенаправлять вывод отладчика пользовательского режима в отладчик ядра, вам нужно будет настроить отладочное подключение ядра. См. получение настройки для отладки.

Чтобы подключить отладчик к WinLogon, необходимо пройти через реестр, чтобы процесс отладился с момента запуска. Чтобы настроить отладку WinLogon, задайте для HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Debugger значение:

ntsd -d -x -g 

Параметр -d передает управление отладчику ядра. Параметр -x приводит к тому, что отладчик фиксирует нарушения доступа в качестве исключений второго шанса. Параметр -g приводит к выполнению процесса WinLogon после вложения. Не добавляйте -g, если вы хотите начать отладку перед началом Winlogon.exe (например, если вы хотите задать начальную точку останова).

Кроме того, необходимо задать значение GlobalFlag в разделе winlogon.exe ключа REG_DWORD "0x000400F0". Это задает проверку кучи (heap checking) и загрузку символов отладки с флагом FLG_ENABLE_KDEBUG_SYMBOL_LOAD. Однако, так как этот второй флаг влияет только на отладчик ядра, символы также должны быть скопированы на целевой компьютер перед запуском отладчика.

Изменение реестра требует, чтобы перезагрузка вступила в силу.

выполнение отладки

После следующей перезагрузки отладчик автоматически переходит в WinLogon.

См. раздел о том, как управлять отладчиком User-Mode из отладчика ядра, чтобы узнать, как продолжить.

Вам потребуется задать путь символов к расположению на вашем хост-компьютере или в другом месте вашей сети. При отладке WinLogon проверка подлинности сети на целевом компьютере не будет работать должным образом.