第3章 徒手战木马
讲述内容:遇到一台进入桌面后没有启动explorer.exe的系统,在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序,重启后,在进入桌面时被强制登出,在安全模式下情况一样。使用ERD(Emergency Repair Disk Commander)启动,再次查看注册表Userinit项,发现Userinit.exe的路径路径不正确,修改为正确的路径后(C:\Windows\System32\Userinit.exe),重启,系统恢复正常。
关键点: 1、登录桌面的过程 (1)当用户输入用户名和密码后,负责登录的系统进程WinLogon将用户名和密码发给负责安全认证的另一个系统进程LSASS (2)LSASS调用验证模块对用户名和密码进行验证,如果通过,则创建一个访问令牌对象。 (3)WinLogon启动HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit表键下指定的程序(默认为UserInit.exe) (4)Userinit进程执行登录和初始化脚本,然后启动Shell表键中定义的Shell程序,默认即为Explorer.exe
2、Winlogon启动Userinit表键下程序的规则 (1)如果有一个程序被成功启动,那么便认为处理成功。 (2)如果指定的所有程序都启动失败,那么便强制登出(Log Off)。
|