Опускаючи подробиці низькорівневої стадії завантаження операційної системи, процес завантаження Windows можна описати наступним чином: підсистема управління сеансами і так званий клієнтсервер часу виконання звертаються до програми входу в систему.
Програма входу в систему являє собою файл winlogon.exe, до якого звертаються вищезазначені процеси. Саме з цього моменту починається відлік часу інтерактивної взаємодії системи і користувача. Тому знати про те, що за процес winlogon.exe – буде корисно кожному кваліфікованому користувачеві.
Ніяке взаємодія з користувачем неможливо без відгуку на клацання по клавішах клавіатури. З самого початку своєї роботи процес winlogon.exe надає користувачеві таку можливість. В першу чергу задіюється реакція на стандартні клавіатурні комбінації <Ctrl+Alt+Del>. Далі програма входу в систему завантажує бібліотеки нотифікації. З їх допомогою проводиться перевірка правильності вводу логіна і пароля, якщо такі встановлені користувачем.
Далі процес запуску розгортається по ланцюжку. winlogon.exe активує реєстру та виконує набір стартових команд, прописаних в одній з її гілок. Після цього активується Shell і запускає Explorer, який, у свою чергу, є основою інтерфейсу Windows.
Особливості програми входу в систему
Процес winlogon.exe відноситься до категорії «неубиваемых». Його неможливо викреслити зі списку виконуваних скориставшись, наприклад, «Диспетчер завдань». Було б дивно, якщо б це у кого-то вийшло. Зате це можна зробити за допомогою спеціалізованого програмного забезпечення, наприклад, — утиліти «Process Explorer». Для того щоб «придушити» цю службу програмним способом, недостатньо використання API верхнього рівня. Для цього буде потрібно отримання привілеїв рівня ядра, що значно ускладнює програмування такої задачі.
Якщо вам все-таки вдасться знищити службу входу в систему під час сеансу роботи в Windows, то нічого цікавого, крім «кракозябров» на екрані ви не побачите. Windows буде зупинений, і комп’ютер доведеться перезавантажувати натисканням кнопки на системному блоці.
Не дивлячись на те, що процес winlogon.exe ніяк не проявляє себе зовні, він все ж має власне вікно. Тільки це вікно з’являється на екрані і є невидимим. Однак саме в чергу повідомлень цього вікна потрапляють всі коди натискань клавіш на клавіатурі. І тільки потім вони надходять до вікон користувача. Деякі з клавіатурних комбінацій це вікно не пропускає далі і резервує за собою. Тому призначити <alt+tab> якусь іншу функцію, крім функції перемикання вікон, — не вдасться.
Експерименти з завантажувачем
На тему експериментів з процесом winlogon.exe можна написати якщо не роман, то велику повість. Хто тільки не доклав до цього руку. Починаючи від цілком добропорядних громадян, які прагнуть отримати додаткові зручності в Windows і закінчуючи безвідповідальними ледацюгами, з великими знаннями в програмуванні, і злісними вірусописьменниками.
Деякі цікаві експерименти засновані на тому, що програма входу в систему безпосередньо звертається до окремих ключів реєстру. Та не просто читає там інформацію, а запускає інші програми, імена яких даних ключах прописані. Отже, якщо змінити ці імена, то можна домогтися досить нестандартної реакції системи на процес запуску.
Наприклад, підсунути користувачеві іншу картинку, ніж та, що виникає при відмові від введення логіну і пароля. Як з’ясувалося, процес winlogon.exe відповідальний і за озвучення системних повідомлень. Це також відкриває великі можливості для любителів покопатися в потрухах Windows.
Але найбільші нарікання викликає використання даного процесу, як основи для цілого виводка вірусів. Деякі віруси успішно мімікрували під завдання входу в систему і виявилися здатні завдати великої шкоди користувачеві.
Потрібно пам’ятати, що будь-який файл з таким же, як у програми входу в систему ім’ям, розташований десь за межами папки «system32» і «dllcache» — це практично напевно вірус.
Видаляйте такі підозрілі файли відразу ж, як тільки виявите.
