Ctrl + Alt +删除WM消息号码

Question

有谁知道按Ctrl + Alt + Del键时的Windows程序是什么？ 我询问当您按下这些键时返回的 Windows 过程消息号。我想知道所有可能的 Windows 版本（w7、xp、vista...）的数量。

Answer 1

Winlogon.exe 拦截安全注意序列 (SAS)，即 CTRL-ALT-DEL。它是一个常规热键，通过 RegisterHotKey 注册，但由于 Winlogon 首先获取它，因此您无法在任何编程语言中窃取或禁用它。

当 Winlogon 收到 SAS 时，它会启动 LogonUI.exe。 LogonUI 是显示“图块”（即您在登录屏幕上看到的那些方块）的过程。每个方块都是一个凭证提供者的实现。

凭据提供者收集您的凭据数据，通常是名称和密码。它将该信息作为不透明的字节数组以及身份验证包的名称发送回Winlogon。

身份验证包知道如何理解该字节数组。我将使用该信息让您登录，可能是通过获取 Kerberos 票证或根据存储的哈希检查您的密码。如果全部检查通过，它将向 Winlogon 提供代表您的用户的安全TOKEN。

快完成了。

Winlogon 创建一个新的Window Station，其桌面命名为“Default”。我将创建由 Userinit 注册表项标识的进程，通常是 userinit.exe（除非您的计算机是僵尸网络的一部分；）。该进程使用身份验证包中的令牌运行。

Userinit 执行一些任务，例如如果这是您第一次登录，则创建您的配置文件。然后它将启动您的 shell，通常是 Explorer.exe，它将读取各种启动参数，例如时钟旁边的所有那些不可读的图标。

我已将主要里程碑以粗体标出。我建议您研究感兴趣的部分，以便我们可以通过回答更具体的问题来更好地帮助您。

Answer 2

我认为 winlogon 是从原始输入线程调用的，我不记得具体是如何调用的，也许是事件或 LPC。 CAD 的全部要点是普通程序无法拦截它。

您可以尝试使用自定义 GINA 在 Vista 之前的系统上模拟它，该 GINA 调用 WlxSasNotify。