系统启动时的软肋——Winlogon进程

系统启动时的软肋——Winlogon进程

曾经案例

最近出现一个名为“落雪”的病毒，这个病毒非常厉害，能破坏木马克星，使其不能正常运行。它由VB 程序语言编写，通过北斗壳加壳处理，该木马文件图标一般是红色的图案，伪装成网络游戏的登

录器。病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见。事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。该木马另一狡诈之处就是创建一名为winlogon.exe的进程，并把其路径指向c:\windows\winlogon.exe（正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe），以此达到迷惑用户的目的。

不可或缺的Winlogon

悟空问道：“教授，今天我们学习哪个进程啊？”谭教授：“悟空，你每天启动操作系统的时候，有没有想过系统的启动和哪些进程有关呢？”看着悟空抓耳挠腮的样子，谭教授明白他一定是没有注意到，于是说：“今天我们就来讲解一下这个和系统启动相关的进程——Winlogon.exe。”

小知识：Winlogon.exe是Windows NT登录管理器。它用于处理用户系统的登录和登录过程，并且管理用户的登录和退出。Winlogon在用户按下Ctrl+Alt+Del时就激活了，显示安全对话框。该进程在用户系统中的作用是非常重要的。

看完前面的介绍，经常玩游戏的八戒说道：“通过这几期的学习后我发现，这些高危的进程常常被病毒、木马、后门所利用。木马文件名都模拟成正常的系统工具名称，但是文件扩展名变成了‘.com’，为什么会这样呢？”

谭教授解释道：“是因为Windows操作系统执行.com文件的优先级比.exe文件高的特性。比如木马命名为Regedit.com，当用户调用注册表编辑器Regedit.exe的时候，一般习惯输入Regedit，而这时执行的并不是微软的Regedit.exe程序，而是木马文件Regedit.com，由此也可以看出木马作者的‘用心良苦’。”

悟空马上接茬：“怪不得注册表被加密后，人们将Regedit.exe改为Regedit.com就可以解密了。”谭教授对悟空的表现感到非常的欣慰。

突然悟空又挠着头说道：“通过前面几期的讲解，我已经对这些病毒、木马迷惑用户的方法略知一二。那么除了通过相似的名称，以及改变原有路径来进行以假乱真以外，我常常听网友说通过进程名称的大小写也可以进行分辨？”

“这个我也经常听说，但是我觉得这样分辨不科学，因为进程名称的大小写是根据文件名称的大小写来决定的。”谭教授解释道。

Winlogon.exe也被黑客利用

“有没有Winlogon.exe这个进程直接被恶意程序利用的？”悟空接着问道。

谭教授说：“当然有啦，由于winlogon.exe是系统的重要进程，所以会被木马程序所利用。你还记得前几期我们讲的线程插入技术吗？国产木马程序中有一个名为PcShare的木马程序，它在线程插入的时候就是将自己的进程插入到系统的winlogon.exe进程中，从而成功的躲过了很多网络防火墙的拦截。”

沙僧也积极的提问：“那么如何分辨这个Winlogon.exe进程是系统进程，还是被木马程序利用的呢？”

谭教授说：“这个很简单，Winlogon.exe虽然是系统重要的进程之一，但是它是一个本地进程，所以不会自动要求连接网络。如果哪天这个进程要求连接网络的话，那么这个Winlogon.exe很有可能就是被木马程序劫持了，需要尽快进行病毒的扫描工作。另外通过工具Auto runs来查看通过Winlogon.exe启动的文件。”

唐僧也问道：“前面说到Winlogon.exe这个进程用于处理登录和注销任务，对系统资源占用的情况又是怎样？”

谭教授：“事实上这个进程的确是必需的，你看在每个系统的进程列表中都有它的身影，所以它的大小和用户登录的时间有关。我曾经看过这个进程占用空间的波动情况，一个是登录一个小时左右，内存占用在1.2MB到8.5MB之间波动。另一个是登录了40多天的，内存占用在1.7MB到17MB之间波动。当用户运行一些老的应用程序或是通过命令提示符窗口运行DOS命令行程序，你就会在进程里面发现它。”

最后，谭教授说道：“今天我们学习了Winlogon.exe这个进程，知道它的特点和被黑客利用后的特征，大家回去以后好好复习，下课。”

从网络设置中着手　让操作系统启动提速

作者：bitao1986　来源：赛迪网技术社区

想方设法地优化系统，努力提高系统启动速度，一直是老生常谈的话题。事实上，许多朋友在用尽了各种系统优化方法后，Windows系统的启动画面有时仍然需要转上几十圈才能登录进系统;之所以会出现这种现象，多半是朋友们使用的系统优化方法不得要领。这不，要是网络设置不当的话，其他方面不管怎么优化，系统速度都无法得到提升!

1、及时取消网络映射

为了方便局域网网络中的共享文件夹，不少人往往会别出心裁地使用网络映射功能，将经常需要访问的某个网络共享文件夹映射成本地的一个磁盘驱动器。比方说，在computershare文件夹中保存有许多好听的mp3音乐文件，每次访问该共享文件夹中的音乐文件时，我们都需要在本地系统的网上邻居窗口中，不停地双击鼠标打开层层子窗口才可以。为了提高访问效率，我们现在只需要先打开系统的运行对话框，然后在其中执行一下“net use x: computershare password /user:xxx”之类的字符串命令，就能将目标共享文件夹映射成为本地的一个X盘了，以后我们只需要打开X盘象访问本地磁盘文件那样快捷访问共享mp3音乐文件了。

可是，一旦我们在本地计算机系统中创建了太多的网络映射连接的话，那么Windows系统每次启动时，就会在启动的过程中对本地的网络驱动器的有效性进行逐一检查，这么一来系统启动的时间自然就会延长，从而影响到系统的正常启动速度。

为了尽可能地提高系统启动速度，我们不妨将本地系统中暂时用不到的网络映射连接删除掉，下面就是删除指定网络映射连接的具体操作步骤:

首先在Windows系统桌面中单击“开始”按钮，打开本地系统的“开始”菜单，单击其中的“运行”命令，打开系统运行对话框，然后在其中执行字符串命令“cmd”，单击“确定”按钮后，将系统界面切换到MS-DOS命令行状态;

接着在DOS命令行中，输入字符串命令“net use x: /del”，单击回车键后，网络驱动器x盘就被自动删除掉了;要是我们想将本地所有的网络映射连接全部断开的话，只需要在DOS命令行中执行“net use * /del”就可以了。当将所有网络映射连接全部断开之后，我们不妨再次重新启动一下Windows系统，相信此时系统启动速度就会明显快了许多

2、关闭自动共享搜索

Windows XP系统在启动过程中，往往会对局域网网络中的一些共享资源进行扫描搜索，这一动作也会延误系统的启动时间。为了缩短系统启动的时间，加快系统启动的速度，我们不妨将计算机自动搜索共享资源的功能关闭掉；下面就是关闭自动共享搜索功能的具体操作步骤:

首先用鼠标双击Windows系统桌面中的“我的电脑”图标，在弹出的我的电脑窗口中，单击菜单栏中的“工具”项目，从弹出的下拉列表中执行“文件夹选项”命令，打开本地系统的文件夹选项设置窗口，单击该窗口中的“查看”选项卡，进入到选项设置页面，接着在该选项设置页面中，检查“自动搜索网络文件夹和打印机”项目目前是否处于选中状态，要是发现它已经被选中的话，必须及时将它的选中状态取消，同时单击“确定”按钮，如此一来Windows XP系统下次在启动时就不会自动多情地去搜索局域网网络中的共享资源了。

3、正确设置网卡参数

许多使用宽带拨号上网的用户常常会遭遇到这样的麻烦，那就是系统每次开机运行后，打开Windows界面的速度倒是十分正常，可是等到Windows系统桌面中的所有内容显示出来后我们还需要等很长时间才能正常操作键盘和鼠标，其实在这个等待过程中系统正处于一种假死状态。事实上很少有人清楚，这个假死状态竟然是由网卡一手造成的;原来系统在每次运行过程中，网卡在缺省状态下会自动向DHCP服务器申请IP地址，不过我们由于使用的是宽带拨号方式，这种拨号方式一般不会为网卡自动分配IP地址的，这么一来网卡就会耗费很长的时间来反复申请地址，直到最后申请失败为止。

为了避免系统在启动过程中，网卡耗费太长的时间去申请IP地址，我们可以通过下面的两个方法来为网卡快速分配合适的IP地址:

第一种方法就是通过共享路由上网的方法，在使用该方法上网时，我们可以先打开IE浏览器，并在浏览窗口的地址栏中输入路由器默认的IP地址，打开该设备的后台登录界面，并正确输入原始登录帐号与密码，进入后台管理界面，然后在该界面中将路由器的DHCP功能正确启用起来，同时要将可供有效分配的IP地址池参数设置好，最后重新启动一下设置好参数的路由器设备，这么一来Windows系统日后启动时网卡就能很快从路由器内置的DHCP服务器中获得有用的IP地址了，那么系统启动过程中就不会出现假死等待状态了，那样的话启动速度自然就要比以前快了许多。

第二种方法是通过虚拟拨号的方法进行上网，在使用该方法上网时，可以先用鼠标右键单击系统桌面中的“网上邻居”图标，从弹出的右键菜单中执行“属性”命令，打开本地计算机系统的网络连接列表界面，选中该界面中的“本地连接”图标，再用鼠标右键单击该图标，然后执行快捷菜单中的“属性”命令，打开本地连接属性设置窗口;

单击该窗口中的“常规”标签，并在对应标签页面中双击其中的“Internet协议(TCP/IP)”项目，进入到设置对话框，选中该对话框中的“使用下面的IP地址”项目，同时为网卡分配一个与宽带“猫”IP地址同处一个网段的地址;例如，一般宽带“猫”IP地址为“192.168.0.1”，那么网卡IP地址就可以设置成“192.168.0.10”，子网掩码地址可以设置为“255.255.255.0”，网关地址可以设置成“192.168.0.1”;下面的再在DNS服务器地址处选择“使用下面的DNS服务器地址”，然后在对应的文本框中输入本地ISP提供的DNS地址，例如笔者在这里填写的是“202.102.11.141”，单击“确定”按钮，将上面的参数设置保存起来，最后重新启动一下Windows系统，相信这一次系统很快就能启动完毕。

小提示:

网卡参数设置不当，不但会影响计算机系统的启动速度，而且还会影响共享访问速度。例如，要是相互通信的两台工作站网卡使用的工作模式不匹配的话，就会严重影响它们的数据传输速度;这不，当10/100MB自适应网卡与100MB网卡相互通信时，一旦10/100MB自适应网卡工作模式被设置为10MB全双工时，那么该网卡每次和100MB网卡相互传输数据时，就需要耗费一定的时间来决定该使用什么大小的速度进行数据传输，那样的话两台工作站相互传输数据的速度就会受到很大影响。

为了防止网卡模式影响共享访问速度，我们必须根据实际情况来设置好网卡的工作模式。一般来说，当相互通信的网卡型号完全相同时，我们只要将它们的工作模式设置成相同就可以了;当一块网卡为10/100MB自适应的，另外一块网卡为100MB的，那么它们在相互通信时，我们可以将10/100MB自适应网卡模式调整成100MB全双工模式，而将100MB网卡设置成默认工作模式就可以了;当一块网卡为10/100MB自适应的，另外一块网卡为10MB的，那么它们在相互通信时，我们可以将10M/100M自适应网卡模式调整成10MB全双工模式，而将10MB网卡设置成默认工作模式就可以了;在具体调整网卡模式参数时，可以按照下面的操作步骤进行:

首先逐一单击“开始”、“设置”、“网络连接”命令，在其后弹出的网络连接列表界面中右击本地连接图标，执行右键菜单中的“属性”菜单命令，进入本地连接属性设置窗口;

单击该设置窗口中的“常规”标签，并在对应标签页面的“连接时使用”处，将安装在本地计算机中的目标网卡设备选中，同时单击右侧“配置”按钮，打开网卡设备属性设置窗口;

在该设置窗口的“高级”标签页面中，选中“属性”列表中的“Link Speed/Duplex Mode”选项，并在该选项的“值”下拉列表中，为网卡选择一个合适的工作模式，并单击“确定”按钮就可以了。

4、删除无效通信协议

在Windows 9x系列的计算机系统中，系统往往会将“IPX/SPX兼容协议”、“NetBeuI协议”之类的通信协议自动与网卡设备绑定在一起，这些通信协议在现有的网络环境中几乎没有多大作用，相反系统在启动过程中对网络设置进行检查时，往往需要多耗费一些时间来检查这些无用的通信协议，这样的话系统启动速度自然也会受到一点影响。为了提高系统启动速度，我们应该及时将绑定在网卡设备中的无效通信协议全部从系统中删除干净。