Compartir a través de

Depuración de WinLogon

  • Artículo

WinLogon es el proceso en modo de usuario que controla la tarea de los usuarios interactivos que inician sesión y desactivan, y controla todas las instancias de CTRL+ALT+DELETE.

Control de NTSD desde el depurador de kernel

La manera más fácil de depurar WinLogon es usar NTSD y controlarlo desde el depurador de kernel.

Habilitación de la depuración de WinLogon

Dado que va a redirigir la salida del depurador en modo de usuario al depurador de kernel, deberá configurar una conexión de depuración de kernel. Consulte Getting Set Up for Debugging (Configuración de la depuración).

Para adjuntar un depurador a WinLogon, debe pasar por el registro para que el proceso se depure desde el momento en que se inicia. Para configurar la depuración de WinLogon, establezca HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Debugger en:

ntsd -d -x -g

La opción -d pasa el control al depurador de kernel. La opción -x hace que el depurador capture infracciones de acceso como excepciones de segunda oportunidad. La opción -g hace que el proceso de WinLogon se ejecute después de los datos adjuntos. No agregue -g si desea iniciar la depuración antes de Winlogon.exe comience (por ejemplo, si desea establecer un punto de interrupción inicial).

Además, debe establecer el valor GlobalFlag en la clave winlogon.exe en REG_DWORD "0x000400F0". Esto establece la comprobación del montón y FLG_ENABLE_KDEBUG_SYMBOL_LOAD. Sin embargo, dado que esta segunda marca solo afecta al depurador de kernel, los símbolos también se deben copiar en el equipo de destino antes de iniciar el depurador.

El cambio del Registro requiere un reinicio para surtir efecto.

Realización de la depuración

Después del siguiente reinicio, el depurador se dividirá automáticamente en WinLogon.

Consulte Controlar el depurador de User-Mode desde el depurador de kernel para obtener una explicación de cómo continuar.

Tendrá que establecer la ruta de acceso del símbolo en una ubicación del equipo host o en otra ubicación de la red. Cuando se depura WinLogon, la autenticación de red en el equipo de destino no funcionará correctamente.