winlogon源代码分析之原子表的创建xxxCreateWindowStation函数中会调用CreateGlobalAtomTable函数创建工作站原子表

已于 2025-03-07 17:19:04 修改
阅读量439 收藏 10
点赞数 4
分类专栏: nt4源代码分析 文章标签: WindowStation PrimaryTerminal winlogon GlobalAtomTable
于 2025-03-07 16:06:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldlinux/article/details/146098341
版权

winlogon源代码分析之原子表的创建xxxCreateWindowStation函数中会调用CreateGlobalAtomTable函数创建工作站原子表


第一部分:


ds\security\gina\winlogon\winlogon.c

int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    LPSTR lpCmdLine, int nCmdShow)
{
......
    //
    // Create the primary terminal.
    //

    if (!CreatePrimaryTerminal())
    {

第2部分:
BOOL CreatePrimaryTerminal (void)
{
 
......
    //
    // Create the window station
    //
    pWS->hwinsta = CreateWindowStationW (WINDOW_STATION_NAME, 0, MAXIMUM_ALLOWED, NULL);
    if (!pWS->hwinsta) {
        DebugLog((DEB_ERROR, "Could not create the interactive windowstation\n"));
        goto failCreateTerminal;
    }


第3部分:
HWINSTA xxxCreateWindowStation(
    POBJECT_ATTRIBUTES  ObjectAttributes,
    KPROCESSOR_MODE     OwnershipMode,
    DWORD               dwDesiredAccess,
    HANDLE              hKbdLayoutFile,
    DWORD               offTable,
    PKBDTABLE_MULTI_INTERNAL pKbdTableMulti,
    PCWSTR              pwszKLID,
    UINT                uKbdInputLocale)
{
 
    }

    /*
     * Create the global atom table and populate it with the default OLE atoms
     * Pin each atom so they can't be deleted by bogus applications like Winword
     */
    Status = CreateGlobalAtomTable(&pwinsta->pGlobalAtomTable);
    if (!NT_SUCCESS(Status)) {
        UserAssert(pwinsta->pGlobalAtomTable == NULL);
        RIPNTERR0(Status, RIP_WARNING, "CreateGlobalAtomTable failed");
        goto create_error;
    }


第4部分:
static CONST LPCWSTR lpszStdFormats[] = {
    L"StdExit",                    第一个                    
    L"StdNewDocument",
    L"StdOpenDocument",
    L"StdEditDocument",
    L"StdNewfromTemplate",                第五个
    L"StdCloseDocument",
    L"StdShowItem",
    L"StdDoVerbItem",
    L"System",
    L"OLEsystem",
    L"StdDocumentName",
    L"Protocols",
    L"Topics",
    L"Formats",
    L"Status",
    L"EditEnvItems",
    L"True",
    L"False",
    L"Change",
    L"Save",
    L"Close",
    L"MSDraw"
};

第5部分:


第一个:
1: kd> dt nt!_RTL_ATOM_TABLE_ENTRY e14914b0    
   +0x000 HashLink         : 0xe15d7440 _RTL_ATOM_TABLE_ENTRY
   +0x004 HandleIndex      : 1
   +0x006 Atom             : 0xc001
   +0x008 ReferenceCount   : 1
   +0x00a Flags            : 0x1 ''
   +0x00b NameLength       : 0x7 ''
   +0x00c Name             : [1] 0x53
1: kd> dx -id 0,0,896d1020 -r1 (*((ntkrnlmp!unsigned short (*)[1])0xe14914bc))
(*((ntkrnlmp!unsigned short (*)[1])0xe14914bc))                 [Type: unsigned short [1]]
    [0]              : 0x53 [Type: unsigned short]
1: kd> db 0xe14914bc
e14914bc  53 00 74 00 64 00 45 00-78 00 69 00 74 00 00 00  S.t.d.E.x.i.t...

第5个:
1: kd>  dt nt!_RTL_ATOM_TABLE_ENTRY e15abcc8
   +0x000 HashLink         : (null)
   +0x004 HandleIndex      : 5
   +0x006 Atom             : 0xc005
   +0x008 ReferenceCount   : 1
   +0x00a Flags            : 0x1 ''
   +0x00b NameLength       : 0x12 ''
   +0x00c Name             : [1] 0x53
1: kd> dx -id 0,0,896d1020 -r1 (*((ntkrnlmp!unsigned short (*)[1])0xe15abcd4))
(*((ntkrnlmp!unsigned short (*)[1])0xe15abcd4))                 [Type: unsigned short [1]]
    [0]              : 0x53 [Type: unsigned short]
1: kd> db 0xe15abcd4
e15abcd4  53 00 74 00 64 00 4e 00-65 00 77 00 66 00 72 00  S.t.d.N.e.w.f.r.
e15abce4  6f 00 6d 00 54 00 65 00-6d 00 70 00 6c 00 61 00  o.m.T.e.m.p.l.a.
e15abcf4  74 00 65 00 00 00 00 00-78 00 00 00 09 04 09 0c  t.e.....x.......

Windows 事件日志中显示了 `C:\WINDOWS\system32\winlogon.exe` 进程(代系统用户 NTAUTHORITY\SYSTEM)...如何解决?
**My Coding Family**
04-26 1044
🏆本文收录于《全栈Bug调优(实战版)》专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!! 备注:部分问题/疑难杂症搜集于互联网。
Windows内核源码详尽分析
05-28
本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大,我能理解到的只是冰山一角,但本文力求做到让每个读者都能从整体上理解Windows内核的架构,并大量解释一些关键细节。
[Windows内核源码分析0] 引导过程(Phase0部分分析)
輚至消亡
09-29 1200
看了下之后加载了APCI.sys, pci.sys, isapnp.sys, compbatt.sys, intelide.sys, MountMgr.sys, ftdisk.sys等等。该函数的主要目的是初始化内核数据结构, 初始化空闲线程和处理器对象, 初始化PCB结构即进程控制块, 并调用执行体层的初始化例程, 并且也用于新处理器上线时的初始化。上面的描述说该例程会被调用2次, 首先在Phase0阶段初始化执行体层和所有它的子组件, 接着在Phase1阶段再次执行初始化工作。
Window源码 解读(一)
BoyiKia的博客
12-16 945
Window 源码解读 Window 是一个窗口概念。它是所有view 的载体。在Widow 机制中,会接触到这几个类如下面类图。 我们按照这个思路,梳理一下源码 Window Abstract base class for a top-level window look and behavior policy. An instance of this class should be us...
3389远程桌面密码获取源代码分析与使用
根据提供的文件信息,我们可以了解到这是一段与Windows远程桌面协议(RDP)端口3389相关的密码获取工具的源代码。RDP端口3389是一个用于远程桌面连接的常用端口,黑客或安全研究人员可能会出于不同目的来尝试获取...
基于visual c++之windows核心编程代码分析(54)实现Winlogon注入dll
尹成的技术博客
01-24 4452
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行.我们都知道操作系统都是基于权限,而权限都是基于用户的,而这个winlogon进程就是管理用户登入登出,是不可以被结束的。winlogon是一个父进程,大多数的进程都是winlogon的子进程,如MDM.EX
kernel32!CreateRemoteThread函数分析之从nt!NtRequestWaitReplyPort函数到CSRSRV!CsrCreateThread函数
最新发布
linux-0.11调试教程
05-01 402
kernel32!CreateRemoteThread函数分析之从nt!NtRequestWaitReplyPort函数到CSRSRV!CsrCreateThread函数
Winlogon.exe接口函数:改变Windows访问控制
例如,当用户登录时,Winlogon调用LSASS.exe来验证用户凭证,并处理用户令牌的创建。一旦用户登录成功,系统会基于这些令牌为用户分配访问资源的权限。开发者可能需要利用这些知识来创建自定义认证流程或设计更加...
[Windows内核源码分析4] 引导过程(Phase1部分分析)
輚至消亡
10-10 943
后查看当前处理器的线程链中是否有需要运行的线程,如果没有就让当前处理器运行Idle线程。接着就返回准备执行阶段1的初始化工作线程。后首先调用HalAllProcessorsStarted通过HAL硬件抽象层所有处理器已经初始化完,接着就对对象管理器, 执行体管理器, 调试器管理器, 安全管理器的阶段1的初始化以及调用。下面来继续分析,首先来看看现在的调用栈, 当我们从Phase0的初始化返回时的调用栈如下。由于阶段1的初始化内容比较多,这里仅做对整体的流程分析,其中的细节之后会写文章继续分析
深入解析Windows编程及Visual C++源码:拼图游戏开发项目
weixin_36487018的博客
12-06 696
本文还有配套的精品资源,点击获取 简介:Windows编程是计算机科学中不可或缺的技能,特别是对于想要在操作系统层面开发应用的程序员。Visual C++作为微软的集成开发环境,为Windows平台上的C++编程提供了一个高效工具。本课程通过深入分析“pintu.rar”中的拼图游戏源码,探讨Windows API的使用、面向对象编程实践以及图形界面的实现方法。学习者将理解...
源码剖析——深入Windows句柄本质
J~的博客
11-16 748
参考资料: 1. http://www.codeforge.cn/read/146318/WinDef.h__html windef.h头文件 2. http://www.codeforge.cn/read/146318/WinNT.h__html winnt.h头文件 3. https://msdn.microsoft.com/en-us/library/windows/desktop...
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1639
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
Windows 10源码一览
01-29 1049
Axel 介绍,Windows 10 与 Windows 8.x、7、Vista、XP、2000 和 NT 的代码库是相同的,其中每一代都在之前的基础上进行重大的重构,并增加大量新功能,改进性能和硬件支持,此外还有安全性的提升,同时保持非常高的后向兼容性。其中也包含一些 C++ 代码,而越靠近用户模式、越接近新的源码时,C 的使用变得越来越少,反之 C++ 变多。作者估计完全查看这些源码的文件名,并试图理解源码具体是用来干什么的,需要花上一生的时间。作者惊呼:Windows 源码的规模巨大,这是一个真正。
[Windows内核源码分析2] 引导过程(进程线程管理器初始化在Phase0部分的分析)
輚至消亡
10-07 539
的整个流程, 刚开始都是一些初始化工作, 这些工作中需要提一嘴的是对进程线程以及模块加载卸载监控的回调的初始化,熟悉反游戏外挂的人肯定对这几个接口非常熟悉。来创造一个进程句柄, 即CID句柄。由于这个函数会使得该位于之前创建的全局内核句柄上, 而这个CID示属于进程拥有的。本文章记录分析进程线程管理器在windows系统引导的阶段0中的初始化工作。主要是PsInitSystem函数。接下去初始化了一个工作队列中PsReaperWorkItem类型的回调函数。把该从全局内核句柄上摘除。
Window底层源码分析(二)
coding_p的博客
05-27 619
前言 Window底层源码分析(一)中我们只是对Activity从一个组件怎么就管理一个界面的基本的流程去初步了解了一下,其实我们只是知道了一个Window 都是由什么东西组成的,activity是怎么管理的,在什么时候创建的等,那么这篇文章我们就接着上一篇文章继续讨论客户端Window是怎么和服务端WindowManagerService怎么通信的,他们之间的到底是怎么一回事? Window...
windows kernel源码分析】对初学者友好的底层理解,让你对计算机内核不再迷茫
20岁爱吃必胜客
10-11 1369
对市面上的文章再做一次整合。给渴望得到内核知识的人提供一些帮助。🍃博主昵称:一拳必胜客‘’
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值