Программы, запускаемые процессом WINLOGON.EXE

Программы, запускаемые процессом WINLOGON.EXE

Ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon используется диалогом входа пользователя в систему (программой WINLOGON.EXE) для хранения параметров реестра, влияющих на ее функционирование. Она может содержать следующие параметры.

• System – данный параметр строкового типа используется для запуска процессов с правами системы при входе пользователя в систему. При этом запускаемые с помощью этого параметра процессы указываются через запятую (то есть, используя этот параметр, можно запускать сразу несколько процессов). По умолчанию данный параметр ничему не равен, поэтому, если вы заметили в нем какое-нибудь значение, обратите на это внимание и постарайтесь выяснить, из-за чего так получилось.

Примечание

Словосочетание «запуск процесса» означает, что вы не сможете таким образом запустить окно или графическую программу. Точнее, если посмотреть в список Диспетчера задач, то можно будет увидеть запущенный процесс (он будет иметь права системы), однако графическую оболочку вы не увидите. По этой причине данный строковый параметр используется для запуска специализированных программ, а также вирусов, троянских коней, клавиатурных шпионов и т. д.

• Userinit – этот строковый параметр применяется для определения списка программ, используемых в качестве начальных процессов оболочки (запускаются процессом lsass.exe при входе в систему и настраивают пользовательские параметры, после чего запускают оболочку пользователя).

По умолчанию значение данного параметра равно %systemroot%system32userinit.exe.

• VmApplet – данный строковый параметр определяет набор процессов (пишутся через запятую), которые WINLOGON будет запускать для настройки параметров виртуальной памяти. По умолчанию этот параметр содержит лишь строку rundll32 shell32, Control_RunDLL "sysdm.cpl".

• Taskman – позволяет переопределить программу, используемую в качестве Диспетчера задач.

• Shell – это, наверное, самый главный параметр, применяемый программой WINLOGON. Именно этот параметр строкового типа указывает на программу оболочки (по умолчанию EXPLORER.EXE), которая будет загружаться для данного пользователя. В данном параметре также можно указать несколько запускаемых при входе пользователя программ, перечислив их через запятую.

Примечание

В отличие от предыдущих, этот строковый параметр может находиться не только в ветви корневого раздела HKEY_LOCAL_MACHINE, но и в ветви корневого раздела HKEY_CURRENT_USER. Вы можете использовать разные файлы оболочек для различных пользователей системы (в Интернете можно найти много файлов оболочек).

Значение описанного выше параметра shell может быть переопределено с помощью аналогичного параметра ветви реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem (либо той же ветви корневого раздела HKEY_LOCAL_MACHINE).

Следует заметить, что параметр shell используется только в том случае, если значение параметра REG_DWORD типа UseAlternateShell, расположенного в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootoption, не равно 1. Если же значение данного параметра равно 1, то файл оболочки, загружаемый операционной системой, берется из параметра строкового типа AlternateShell, расположенного в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot.

Данный текст является ознакомительным фрагментом.