随手而作,纯粹技术研究,没什么实际意义。

打开xuetr,正常情况下.winlogon.exe注册了三个热键。
ctrl+alt+del,win+u,win+l三个。

这三个键用SetWindowsHookEx()函数,使用键盘钩子也屏蔽不了。

我们先把UnregisterSystemHotKey.dll解压出来,放到任意目录.

比如E盘根目录,就运行

  1. rundll32 E:\UnregisterSystemHotKey.dll,Hook

再打开xuetr看下,Winlogo.exe进程注册的热键都没有了.

    1. #include <windows.h>
    2. #include <process.h>
    3. #include <tchar.h>
    4. #include <stdio.h>
    5. #include <shlwapi.h>
    6. #include <psapi.h>
    7. #pragma comment(lib, "psapi.lib")
    8. #pragma comment(lib, "shlwapi.lib")
    9. TCHAR ModuleFile[MAX_PATH];
    10. TCHAR szText[128] = {0};
    11. WNDPROC OldWindowProc;
    12. HWND hWinLogon;
    13. HMODULE hDll;
    14. LRESULT CALLBACK NewWindowProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
    15. {
    16. if (message == WM_NULL)
    17. {
    18. ::UnregisterHotKey(hWnd, 0); //Ctrl+Alt+delete
    19. ::UnregisterHotKey(hWnd, 4); //Ctrl+Shift+Esc
    20. ::UnregisterHotKey(hWnd, 5); //Win+L
    21. ::UnregisterHotKey(hWnd, 6); //Win+U
    22. ::SetWindowLongPtr(hWnd, GWL_WNDPROC, (LONG)OldWindowProc);
    23. return 1;
    24. }
    25. return CallWindowProc(OldWindowProc, hWnd, message, wParam, lParam);
    26. }
    27. BOOL WINAPI EnablePrivileges()
    28. {
    29. HANDLE hToken;
    30. TOKEN_PRIVILEGES tkp;
    31. if (!OpenProcessToken(GetCurrentProcess(),
    32. TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    33. return( FALSE );
    34. LookupPrivilegeValue(NULL, SE_DEBUG_NAME,
    35. &tkp.Privileges[0].Luid);
    36. tkp.PrivilegeCount = 1;
    37. tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    38. AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,
    39. (PTOKEN_PRIVILEGES)NULL, 0);
    40. if (GetLastError() != ERROR_SUCCESS)
    41. return FALSE;
    42. return TRUE;
    43. }
    44. BOOL CALLBACK lpEnumWindowsProc(HWND hwnd, LPARAM lParam)
    45. {
    46. if (IsWindow(hwnd))
    47. {
    48. ::GetWindowText(hwnd, szText, _countof(szText));
    49. if (!_tcscmp(szText, TEXT("SAS window")))
    50. {
    51. hWinLogon = hwnd;
    52. OldWindowProc = (WNDPROC)::SetWindowLongPtr(hwnd, GWL_WNDPROC, (LONG)NewWindowProc);
    53. PostMessage(hwnd, WM_NULL, 0, 0);
    54. return FALSE;
    55. }
    56. }
    57. return TRUE;
    58. }
    59. UINT _stdcall FreeSelfProc(void *Arg)
    60. {
    61. FreeLibraryAndExitThread(hDll, 0);
    62. return 1;
    63. }
    64. BOOL WINAPI DllMain(HINSTANCE hDllHandle, DWORD nReason, LPVOID Reserved)
    65. {
    66. switch ( nReason )
    67. {
    68. case DLL_PROCESS_ATTACH:
    69. hDll = hDllHandle;
    70. GetModuleFileName(NULL, ModuleFile, _countof(ModuleFile));
    71. EnablePrivileges();
    72. if (StrStrI(ModuleFile, TEXT("winlogon.exe")))
    73. {
    74. HANDLE hThread;
    75. UINT ThreadId;
    76. HDESK hWinLogon = OpenDesktop(TEXT("Winlogon"), 0, FALSE, GENERIC_ALL);
    77. ::EnumDesktopWindows(hWinLogon, lpEnumWindowsProc, NULL);
    78. CloseDesktop(hWinLogon);
    79. hThread = (HANDLE)_beginthreadex(NULL, NULL, &FreeSelfProc, 0, 0, &ThreadId);
    80. WaitForSingleObject(hThread, INFINITE);
    81. CloseHandle(hThread);
    82. }
    83. else
    84. {
    85. DWORD dwProcessId = 0;
    86. HANDLE hProcess = 0;
    87. DWORD ProcessList[512], cbNeeded, cProcess;
    88. TCHAR szFileName[256];
    89. EnumProcesses(ProcessList, sizeof(ProcessList), &cbNeeded);
    90. cProcess = cbNeeded/sizeof(DWORD);
    91. for (UINT i=0; i<cProcess; i++)
    92. {
    93. if (ProcessList[i] != 0)
    94. {
    95. hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessList[i]);
    96. if (hProcess)
    97. {
    98. GetModuleBaseName(hProcess, NULL, szFileName, _countof(szFileName));
    99. if (!_tcsicmp(szFileName, TEXT("winlogon.exe")))
    100. {
    101. dwProcessId = ProcessList[i];
    102. break;
    103. }
    104. }
    105. }
    106. }
    107. if (dwProcessId)
    108. {
    109. hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
    110. }
    111. if (!hProcess)
    112. {
    113. return 0;
    114. }
    115. LPVOID Param = VirtualAllocEx(hProcess, 0, 512, MEM_COMMIT, PAGE_READWRITE);
    116. if (!Param)
    117. {
    118. MessageBox(NULL, TEXT("申请内存失败"), TEXT("申请内存失败"), MB_ICONWARNING);
    119. return 0;
    120. }
    121. GetModuleFileName(hDllHandle, ModuleFile, _countof(ModuleFile));
    122. if (!WriteProcessMemory(hProcess, Param, (LPVOID)ModuleFile, 256, NULL))
    123. {
    124. MessageBox(NULL, TEXT("写入内存失败"), TEXT("写入内存失败"), MB_ICONWARNING);
    125. return 0;
    126. }
    127. HANDLE hThread = CreateRemoteThread(hProcess,
    128. NULL,
    129. NULL,
    130. (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryW"),
    131. Param,
    132. NULL,
    133. NULL);
    134. if (hThread)
    135. {
    136. WaitForSingleObject(hThread, INFINITE);
    137. }
    138. else
    139. {
    140. TCHAR sztmp[1024];
    141. _stprintf_s(sztmp, _countof(sztmp), TEXT("创建远程线程失败, 错误代码:%d, dll=%s"), GetLastError(), ModuleFile);
    142. MessageBox(NULL, sztmp, TEXT("创建远程线程失败"), MB_ICONWARNING);
    143. return 0;
    144. }
    145. VirtualFreeEx(hProcess, Param , 0, MEM_RELEASE);
    146. CloseHandle(hThread);
    147. CloseHandle(hProcess);
    148. }
    149. break;
    150. case DLL_THREAD_ATTACH:
    151. break;
    152. case DLL_THREAD_DETACH:
    153. break;
    154. case DLL_PROCESS_DETACH:
    155. ::SetWindowLongPtr(hWinLogon, GWL_WNDPROC, (LONG)OldWindowProc);
    156. break;
    157. default:
    158. break;
    159. }
    160. return 1;
    161. }
    162. EXTERN_C __declspec(dllexport) int Hook(void)
    163. {
    164. return 1;
    165. }

http://blog.csdn.net/zwfgdlc/article/details/6609591

我仔细看了看,突然想到。这不是传说很久的SAS子类化吗?居然忘记了
http://topic.csdn.net/u/20090402/11/d3e27441-cfcc-45d8-a0b2-1164fc3dd777.html

Ring3下无驱动移除winlogon.exe进程ctrl+alt+del,win+u,win+l三个系统热键,非屏蔽热键(子类化SAS 窗口)的更多相关文章

  1. 关于csrss.exe和winlogon.exe进程多、占用CPU高的解决办法,有人在暴力破解

    关于csrss.exe和winlogon.exe进程多.占用CPU高的解决办法 最近VPS的CPU一直处在100%左右,后台管理上去经常打不开,后来发现上远程都要好半天才反映过来,看到任务管理器有多个 ...

  2. 关于csrss.exe和winlogon.exe进程多、占用CPU高的解决办法

    原地址 http://blog.sina.com.cn/s/blog_912e77480101nuif.html   最近VPS的CPU一直处在100%左右,后台管理上去经常打不开,后来发现上远程都要 ...

  3. win7下禁用ctrl alt del +上下左右键

    1.控制面板 2.屏幕分辨率 3.高级设置 4.英特尔图形和媒体控制面板 5.图形属性 6.选项和支持 7.快捷键管理器 8.去掉启动前的勾

  4. Mac下通过远程桌面向Windows发送Ctrl+Alt+Delete

    今天在Mac中通过远程桌面给Windows安装Git Extensions,在安装程序自动关闭资源管理器时,Windows无响应,桌面显示黑屏.于是,想通过Ctrl+Alt+Delete快捷键调出对话 ...

  5. Ring3下干净的强行删除文件

    在某公司实习完,再次回到寝室.还是在学校好. 实习期间的给我的任务就是为项目添加一个强行删除的模块. 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除. ...

  6. 树莓派3b无驱动打印

    Linux系统下很少有对打印机做驱动支持,自己做起来又有非常麻烦,还好大多数打印机都能够支持escpos协议,因此我们可以做到无驱动打印. 1.安装python-usb库 git clone http ...

  7. winlogon.exe应用程序错误怎么办

    winlogon.exe应用程序错误 求解决办法,重装,还原一定能解决就不要说了,我要其他办法 最佳答案 winlogon.exe 是控制你的系统登陆的程序,是系统绝对核心进程,用来管理系统用户登陆! ...

  8. Ubuntu16.04下nvidia驱动+nvidia-docker+cuda9+cudnn7安装

    一.宿主机安装nvidia驱动 打开终端,先删除旧的驱动: sudo apt-get purge nvidia* 禁用自带的 nouveau nvidia驱动 sudo gedit /etc/modp ...

  9. Linux的.a、.so和.o文件 对比 window下的dll,lib,exe文件

    连续几天终于将一个又一个问题解决了,这里说其中一个问题 描述问题:使用多线程pthread的时候,(我用的IDE,CODEBOLCKS)编译后发现直接弹出窗口,程序还没有被Build..巴拉巴拉,然后 ...

随机推荐

  1. 微信上传素材 {"errcode":41005,"errmsg":"media data missing"} 解决方法和思路

    哎lol 连跪两把  就来写写博客    今天遇到一个问题 ,微信公众号开发上传素材是提示报错   41005    errcode":41005,"errmsg":&q ...

  2. 关于js的window.open()

    window.open是javascript函数,该函数的作用是打开一个新窗口或这改变原来的窗口,不过一般用来的是打开新窗口,因为修改原来的网页地址,可以有另一个函数,那就是window.locati ...

  3. Android Handler、Message完全解析,带你从源码的角度彻底理解

    之前也是由于周末通宵看TI3比赛,一直没找到时间写博客,导致已经有好久没更新了.惭愧!后面还会恢复进度,尽量保证每周都写吧.这里也是先恭喜一下来自瑞典的Alliance战队夺得了TI3的冠军,希望明年 ...

  4. Visual C# 2010 实现资源管理器

    演练:使用设计器创建带有 ListView 和 TreeView 控件的资源管理器样式的界面 Visual Studio 2010     其他版本     此主题尚未评级 - 评价此主题   Vis ...

  5. python 教程 第十六章、 正则表达式

    第十六章. 正则表达式 1)    匹配多个表达式 记号  re1|re2 说明  匹配正则表达式re1或re2 举例  foo|bar  匹配  foo, bar 记号  {N} 说明  匹配前面出 ...

  6. 微信小程序之商品属性分类

    所提及的购物数量的加减,现在说说商品属性值联动选择. 为了让同学们有个直观的了解,到电商网截了一个图片,就是红圈所示的部分 现在就为大家介绍这个小组件,在小程序中,该如何去写 下图为本项目的图: wx ...

  7. EJB什么,它真的有这么神奇??

    1. 我们不禁要问,什么是"服务集群"?什么是"企业发展"? 现在说EJB 至"服务集群"和"企业发展",然后,说什么是 ...

  8. XDEBUG+PHPSTORM 开发 调试

    原文:XDEBUG+PHPSTORM 开发 调试 XDEBUG+PHPSTORM 开发 调试 在我们开发过程中.我们如果经常性的echo.dump效率很低.所以我们就可以使用xdebug进行断点调试. ...

  9. Android Widget 小工具(两) 使用configure

    添加Widget在此之前需要做一些处理操作,可以使用 配置活动 在上一篇的实现基础上,加上配置活动(configure=activity).这时加入Widget时.会先打开一个Activity,进行配 ...

  10. Swift是一个提供RESTful HTTP接口的对象存储系统,目的是为了提供一个和AWS S3竞争的服务

    Swift是一个提供RESTful HTTP接口的对象存储系统,最初起源于Rackspace的Cloud Files,目的是为了提供一个和AWS S3竞争的服务. Swift于2010年开源,是Ope ...