Программа входа в систему

Программа входа в систему — компонент операционной системы Microsoft Windows, отвечающий за вход в систему.

Краткий обзор

Исполняемым файлом процесса является winlogon.exe. Winlogon.exe запускается процессом smss.exe вместе с процессом csrss.exe. Для реализации диалога с пользователем применяется библиотека GINA. Программа входа в систему обрабатывает нажатие  Ctrl  +  Alt  +  Del  и  Ctrl  +  ⇧ Shift  +  Esc . Winlogon.exe подгружает и выполняет код из библиотек Winlogon notification packages. Такие библиотеки применяются системой, программами и вирусами^{[источник не указан 444 дня]}. Они не поддерживаются в Windows Vista^[1].

Критичность процесса

Процесс winlogon.exe через стандартное WinAPI невозможно закрыть. Для этого требуется привилегия SE_DEBUG^{[источник не указан 444 дня]}.

Если всё-таки закрыть процесс, на экране появится синий экран смерти со следующим сообщением:

c000021a {Fatal System Error} The Windows logon process system process terminated unexpectly with a status…

что является следствием срабатывания специальной защиты, установленной для процесса winlogon.exe недокументированной функцией RtlSetProcessIsCritical библиотеки ntdll.dll^{[источник не указан 444 дня]}.

В русской версии операционной системы экран заполнится кракозябрами, которые при декодировании значат:

c000021a {} Непредвиденное завершение системнного процесса Windows Logon Process с состоянием…

Причиной такого сбоя может быть заполнение системного диска до предела, при освобождении места всё возвращается в норму^{[источник не указан 444 дня]}. В Windows 7 отключение процесса winlogon.exe вызывает немедленный выход из системы вместо сбоя^{[источник не указан 444 дня]}.

Функции

Программа входа в систему начинает работу, будучи запущенным процессом smss.exe. После некоторых подготовительных действий, она отображает приглашение ко входу в систему. В ходе запуска операционной системы запускает lsass.exe и services.exe. Если активен новый стиль экрана приветствия, то для его отображения запускается процесс logonui.exe. После входа в систему Программа входа в систему запускает команды, прописанные в параметре Userinit Реестра Windows — обычно userinit.exe, которая в свою очередь выполняет запуск программ, прописанных в параметре Shell — обычно explorer.exe.

Вредоносные программы

Этот раздел не завершён. Вы поможете проекту, исправив и дополнив его.

Вирусы и другие вредоносные программы могут добавлять Winlogon notification packages и изменять параметры Shell и Userinit для заражения системы. Имя winlogon.exe используют некоторые вирусы для своих файлов, поэтому подозрительными являются все файлы с таким именем, находящиеся в папке, отличной от %SYSTEMROOT%\system32 и %SYSTEMROOT%\dllcache. Переименовав нужное приложение в %SystemRoot%\System32\logon.scr, можно добиться его запуска с правами пользователя SYSTEM через 10 минут ожидания ввода имени пользователя и пароля для входа в систему^{[источник не указан 444 дня]}.

Примечания

1. ↑ Winlogon Notification Packages Removed: Impact on Windows Vista Planning and Deployment

Для улучшения этой статьи желательно?: Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное. Исправить статью согласно стилистическим правилам Википедии. Переработать оформление в соответствии с правилами написания статей. Проставив сноски, внести более точные указания на источники. Проставить для статьи более точные категории. Проверить достоверность указанной в статье информации.