在NT系列Windows操作系统中，恶意软件可以通过关联Winlogon特定的事件来使自身被启动，如Lock，Logoff，Logon，Shutdown，StartScreenSaver，StartShell，Startup，StopScreenSaver，Unlock等，这甚至能够使得恶意软件在安全模式下被加载。WinLogon的通知事件在注册表的位置是：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

当WinLogon.exe产生一个事件通知的时候，Windows会检查注册表里面指定的DLL并调用DLL指定的导出函数。示例（当屏幕锁定时调用WinLogonDemo.dll导出的LockFun函数）：

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Test]

@=""

"DLLName"="WinLogonDemo.dll"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000001

"Lock"="LockFun"

从Windows Vista开始，这项特性被取消了。可以通过注册一个服务来监听相应的事件（部分事件不支持），参见Using Service Control Manager (SCM) Notifications

http://www.programlife.net/windows-nt-winlogon-notify.html

最新文章

1. mysql 大表拆分成csv导出
2. Redux原理（一）：Store实现分析
3. Java中如何把一下字符串转换成map
4. C# 序列化反序列化
5. spring注解方式在一个普通的java类里面注入dao
6. 2013年优秀jQuery插件
7. 标准库 - fmt/format.go 解读
8. UISegmentedControl 分段器加载不同的viewcontroller
9. 控制反转（IoC）
10. bjfu1211 推公式，筛素数
11. CWnd::UpdateData
12. 第二部分面向对像基础第五章Strng类中方法的使用
13. 安装CAD出现Error 1904.Module的解决方法
14. 删掉SafeDrv病毒（这个病毒有点意思）
15. 阅读：AirBag Boosting Smartphone Resistance to Malware Infection
16. Vuex初识
17. Js数组去重方法总结
18. HTTP 方法：Get与Post分析
19. CSS的简单复习总结
20. 【NOI2018模拟】Yja

热门文章

1. jquery中ajax中post方法（多学习：洞悉原理，触类旁通）（函数封装思想）
2. JS null问题
3. 【codeforces 546D】Soldier and Number Game
4. BigDecimal 舍入模式（Rounding mode）介绍
5. jdk 8 lambda表达式以及Predicate接口
6. lucene 7.x 分词 TokenStream的使用及源码分析
7. kindeditor 4 上传下载文件
8. 在C++ Builder6上使用Boost正则表达式库
9. Visual Studio 2017 and Apache Cordova mobile apps | Andrés Zsögön
10. 利用WPF建立自己的3d gis软件（非axhost方式）（七）实现简单的粒子效果