Ring3下无驱动移除winlogon.exe进程ctrl+alt+del,win+u,win+l三个系统热键,非屏蔽热键（子类化SAS 窗口）

随手而作，纯粹技术研究，没什么实际意义。

 

打开xuetr,正常情况下.winlogon.exe注册了三个热键。

ctrl+alt+del,win+u,win+l三个。

这三个键用SetWindowsHookEx()函数，使用键盘钩子也屏蔽不了。

 

我们先把UnregisterSystemHotKey.dll解压出来，放到任意目录.

比如E盘根目录,就运行

[html] ​​view plain​​ ​​copy​​

 

2. rundll32 E:\UnregisterSystemHotKey.dll,Hook  

再打开xuetr看下,Winlogo.exe进程注册的热键都没有了.

 

 

 

[cpp] ​​view plain​​ ​​copy​​

 

2. #include <windows.h>  
3. #include <process.h>   
4. #include <tchar.h>  
5. #include <stdio.h>  
6. #include <shlwapi.h>  
7. #include <psapi.h>  
8.   
9. #pragma comment(lib, "psapi.lib")  
10. #pragma comment(lib, "shlwapi.lib")  
11.   
12. TCHAR ModuleFile[MAX_PATH];  
13. TCHAR szText[128] = {0};  
14. WNDPROC OldWindowProc;  
15. HWND hWinLogon;  
16. HMODULE hDll;  
17.   
18.   
19. LRESULT CALLBACK NewWindowProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)  
20. {  
21.     if (message == WM_NULL)  
22.     {  
23.         ::UnregisterHotKey(hWnd, 0); //Ctrl+Alt+delete  
24.         ::UnregisterHotKey(hWnd, 4); //Ctrl+Shift+Esc  
25.         ::UnregisterHotKey(hWnd, 5); //Win+L  
26.         ::UnregisterHotKey(hWnd, 6); //Win+U  
27.         ::SetWindowLongPtr(hWnd, GWL_WNDPROC, (LONG)OldWindowProc);  
28.         return 1;  
29.     }  
30.       
31.     return CallWindowProc(OldWindowProc, hWnd, message, wParam, lParam);  
32. }  
33.   
34. BOOL WINAPI EnablePrivileges()  
35. {  
36.     HANDLE hToken;   
37.     TOKEN_PRIVILEGES tkp;   
38.   
39.     if (!OpenProcessToken(GetCurrentProcess(),   
40.         TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))   
41.         return( FALSE );   
42.   
43.     LookupPrivilegeValue(NULL, SE_DEBUG_NAME,   
44.         &tkp.Privileges[0].Luid);   
45.   
46.     tkp.PrivilegeCount = 1;   
47.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;   
48.   
49.     AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,   
50.         (PTOKEN_PRIVILEGES)NULL, 0);   
51.   
52.     if (GetLastError() != ERROR_SUCCESS)   
53.         return FALSE;   
54.   
55.     return TRUE;  
56. }  
57.   
58. BOOL CALLBACK lpEnumWindowsProc(HWND hwnd, LPARAM lParam)  
59. {  
60.     if (IsWindow(hwnd))  
61.     {  
62.         ::GetWindowText(hwnd, szText, _countof(szText));  
63.   
64.         if (!_tcscmp(szText, TEXT("SAS window")))  
65.         {  
66.             hWinLogon = hwnd;  
67.             OldWindowProc = (WNDPROC)::SetWindowLongPtr(hwnd, GWL_WNDPROC, (LONG)NewWindowProc);  
68.             PostMessage(hwnd, WM_NULL, 0, 0);  
69.             return FALSE;  
70.         }  
71.     }  
72.   
73.     return TRUE;  
74. }  
75.   
76. UINT _stdcall FreeSelfProc(void *Arg)  
77. {  
78.     FreeLibraryAndExitThread(hDll, 0);  
79.     return 1;  
80. }  
81.   
82. BOOL WINAPI DllMain(HINSTANCE hDllHandle, DWORD nReason, LPVOID Reserved)  
83. {  
84.     switch ( nReason )  
85.     {  
86.     case DLL_PROCESS_ATTACH:  
87.         hDll = hDllHandle;  
88.         GetModuleFileName(NULL, ModuleFile, _countof(ModuleFile));  
89.         EnablePrivileges();  
90.           
91.         if (StrStrI(ModuleFile, TEXT("winlogon.exe")))  
92.         {  
93.             HANDLE hThread;  
94.             UINT ThreadId;  
95.   
96.             HDESK hWinLogon = OpenDesktop(TEXT("Winlogon"), 0, FALSE, GENERIC_ALL);  
97.             ::EnumDesktopWindows(hWinLogon, lpEnumWindowsProc, NULL);  
98.             CloseDesktop(hWinLogon);  
99.   
100.             hThread = (HANDLE)_beginthreadex(NULL, NULL, &FreeSelfProc, 0, 0, &ThreadId);  
101.             WaitForSingleObject(hThread, INFINITE);  
102.             CloseHandle(hThread);             
103.         }  
104.         else  
105.         {  
106.             DWORD dwProcessId = 0;  
107.             HANDLE hProcess = 0;    
108.             DWORD ProcessList[512], cbNeeded, cProcess;  
109.             TCHAR szFileName[256];  
110.   
111.             EnumProcesses(ProcessList, sizeof(ProcessList), &cbNeeded);  
112.             cProcess = cbNeeded/sizeof(DWORD);  
113.   
114.             for (UINT i=0; i<cProcess; i++)  
115.             {  
116.                 if (ProcessList[i] != 0)  
117.                 {  
118.                     hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessList[i]);  
119.                     if (hProcess)  
120.                     {  
121.                         GetModuleBaseName(hProcess, NULL, szFileName, _countof(szFileName));  
122.                         if (!_tcsicmp(szFileName, TEXT("winlogon.exe")))  
123.                         {  
124.                             dwProcessId = ProcessList[i];  
125.                             break;  
126.                         }  
127.                     }  
128.                 }  
129.             }  
130.   
131.             if (dwProcessId)  
132.             {  
133.                 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);  
134.             }  
135.   
136.             if (!hProcess)  
137.             {  
138.                 return 0;  
139.             }  
140.           
141.             LPVOID Param = VirtualAllocEx(hProcess, 0, 512, MEM_COMMIT, PAGE_READWRITE);  
142.             if (!Param)  
143.             {  
144.                 MessageBox(NULL, TEXT("申请内存失败"), TEXT("申请内存失败"), MB_ICONWARNING);  
145.                 return 0;  
146.             }  
147.   
148.             GetModuleFileName(hDllHandle, ModuleFile, _countof(ModuleFile));  
149.   
150.             if (!WriteProcessMemory(hProcess, Param, (LPVOID)ModuleFile, 256, NULL))  
151.             {  
152.                 MessageBox(NULL, TEXT("写入内存失败"), TEXT("写入内存失败"), MB_ICONWARNING);  
153.                 return 0;  
154.             }  
155.               
156.             HANDLE hThread = CreateRemoteThread(hProcess,   
157.                     NULL,   
158.                     NULL,   
159.                     (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryW"),  
160.                     Param,   
161.                     NULL,   
162.                     NULL);  
163.             if (hThread)  
164.             {  
165.                 WaitForSingleObject(hThread, INFINITE);  
166.             }  
167.             else  
168.             {  
169.                 TCHAR sztmp[1024];  
170.                 _stprintf_s(sztmp, _countof(sztmp), TEXT("创建远程线程失败, 错误代码:%d, dll=%s"), GetLastError(), ModuleFile);  
171.                 MessageBox(NULL, sztmp, TEXT("创建远程线程失败"), MB_ICONWARNING);  
172.                 return 0;                 
173.             }  
174.   
175.             VirtualFreeEx(hProcess, Param , 0, MEM_RELEASE);  
176.             CloseHandle(hThread);  
177.             CloseHandle(hProcess);  
178.         }  
179.         break;  
180.     case DLL_THREAD_ATTACH:  
181.         break;  
182.     case DLL_THREAD_DETACH:  
183.         break;  
184.     case DLL_PROCESS_DETACH:  
185.         ::SetWindowLongPtr(hWinLogon, GWL_WNDPROC, (LONG)OldWindowProc);  
186.         break;  
187.     default:  
188.         break;  
189.     }  
190.   
191.     return 1;  
192. }  
193.   
194. EXTERN_C __declspec(dllexport) int Hook(void)  
195. {  
196.     return 1;  
197. }  
198.