跳转至

Winlogon 助手 DLL

对手可能会滥用 Winlogon 的功能,在用户登录时执行 DLL 和/或可执行文件。Winlogon.exe 是一个 Windows 组件,负责登录/注销时的操作以及由 Ctrl-Alt-Delete 触发的安全注意序列 (SAS)。HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ 中的注册表项用于管理支持 Winlogon 的其他助手程序和功能。(引用: Cylance Reg Persistence Sept 2013) 对这些注册表项的恶意修改可能会导致 Winlogon 加载并执行恶意 DLL 和/或可执行文件。具体来说,以下子键可能容易被滥用:(引用: Cylance Reg Persistence Sept 2013) * Winlogon\Notify - 指向处理 Winlogon 事件的通知包 DLL * Winlogon\Userinit - 指向 userinit.exe,用户登录时执行的用户初始化程序 * Winlogon\Shell - 指向 explorer.exe,用户登录时执行的系统 shell 对手可能会利用这些功能反复执行恶意代码并建立持久性。