网友1:
在Windows 9x/Me系统中,屏蔽Ctrl+Alt+Del和各种任务开关键的方法是通过下面的方法实现的:
BOOL bOldState;
SystemParametersInfo(SPI_SETSCREENSAVERRUNNING, TRUE, &bOldState, 0);
MS大佬认为这种方法很业余,所以在Windows NT/2000/XP中对此进行了修改。在这些较新的Windows版本中用户登陆使用Winlogon和GINA——Graphical Identification and Authentication,意思是图形化的身份认证,挺吓唬人的是不是!其实就那么回事。Winlogon是Windows系统的一部分,它专门提供交互式登陆支持,而GINA则是Winlogon用来实现认证的一个DLL——这个DLL就是msgina.dll。WlxInitialize、WlxActivateUserShell便是其中输出,当然不知这两个,还有别的。前者进行自身的初始化,后者激活用户的外壳程序。Windows就是用这个DLL来实现用户名+口令的身份认证的,但是开发人员可以用自己的GINA代替msgina.dll。例如,实现智能卡、视网膜扫描仪、DNA检查等等认证机制来代替输入用户名+口令形式的身份检查。
下面的表格中列出了与GINA有关的全部函数。其中有一个是WlxLoggedOnSAS,当按下Ctrl+Alt+Del 键时,Winlogon便调用这个函数。
在默认情况下,GINA显示登陆对话框,用户输入用户名及口令。所以要想屏蔽掉Ctrl+Alt+Del,则可以写一个新的MyGina.dll,其中提供接口调用msgina.dll的函数WlxLoggedOnSAS,从而实现Ctrl+Alt+Del屏蔽。或者编写一个键盘驱动程序来实现。
网友2:
Ctrl+Alt+Delete组合键是Winlogon进程的SAS。
1.Winlogon是使用RegisterHotKey函数注册的。RegisterHotKey函数原型如下:BOOL RegisterHotKey(HWND hWnd,int id,UINT fsModifiers,UINT vk);
2.从函数的参数来看,使用这个函数注册热键的同时会指定一个窗口,在注册了热键以后,系统会向这个窗口发送WM_HOTKEY消息,从而在窗口的消息处理函数中实现对热键的响应。而这个窗口在Winlogon进程里。我们使用dll注入到Winlogon进程里,用EnumDesktopWindows枚举"SAS window"窗口。然后接管此窗口的消息处理函数,使用SetWindowLong,这样就可以过滤WM_HOTKEY消息,使得Ctrl+Alt+Delete组合键无效。
3.注入方式采用“镜像劫持”,把我们的dll路径写到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify。因为Winlogon.exe启动后会加载这个路径下的dll。当然我们需要实现Winlogon.exe调用的接口,这里我们最关心的是实现Startup(系统开机事件)接口,在里面加入过滤WM_HOTKEY消息的逻辑就行了。
网友3:
将代码注入winlogon