Freigeben über

Debuggen von WinLogon

  • Artikel

WinLogon ist der Benutzermodusprozess, der die Aufgabe interaktiver Benutzer übernimmt, sich anzumelden und abzumelden, und alle Instanzen von STRG+ALT+DELETE verarbeitet.

Steuern von NTSD über den Kerneldebugger

Die einfachste Möglichkeit zum Debuggen von WinLogon besteht darin, NTSD zu verwenden und über den Kerneldebugger zu steuern.

Aktivieren des WinLogon-Debuggens

Da Sie die Debuggerausgabe im Benutzermodus an den Kerneldebugger umleiten, müssen Sie eine Kerneldebugverbindung einrichten. Weitere Informationen finden Sie unter Einrichten des Debuggens.

Um einen Debugger an WinLogon anzufügen, müssen Sie die Registrierung durchlaufen, damit der Prozess ab dem Start debuggt wird. Legen Sie zum Einrichten des WinLogon-Debuggings HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Debugger auf Folgendes fest:

ntsd -d -x -g

Die Option -d übergibt die Steuerung an den Kerneldebugger. Die Option -x bewirkt, dass der Debugger Zugriffsverletzungen als Ausnahmen für die zweite Chance erfasst. Die Option -g bewirkt, dass der WinLogon-Prozess nach der Anlage ausgeführt wird. Fügen Sie - g nicht hinzu, wenn Sie mit dem Debuggen beginnen möchten, bevor Winlogon.exe beginnt (z. B. wenn Sie einen anfänglichen Haltepunkt festlegen möchten).

Darüber hinaus sollten Sie den GlobalFlag-Wert unter dem schlüsselwinlogon.exe auf REG_DWORD "0x000400F0" festlegen. Dadurch werden Heapüberprüfungen und FLG_ENABLE_KDEBUG_SYMBOL_LOAD festgelegt. Da sich dieses zweite Flag jedoch nur auf den Kerneldebugger auswirkt, müssen vor dem Starten des Debuggers auch Symbole auf den Zielcomputer kopiert werden.

Die Registrierungsänderung erfordert einen Neustart, um wirksam zu werden.

Ausführen des Debuggens

Nach dem nächsten Neustart wird der Debugger automatisch in WinLogon einbrechen.

Unter Steuern des User-Mode Debuggers über den Kerneldebugger finden Sie eine Erläuterung der Vorgehensweise.

Sie müssen den Symbolpfad zu einem Speicherort auf Ihrem Hostcomputer oder zu einem anderen Speicherort in Ihrem Netzwerk festlegen. Wenn WinLogon debuggt wird, funktioniert die Netzwerkauthentifizierung auf dem Zielcomputer nicht ordnungsgemäß.