提起Winlogon,许多WinXP用户可能都不知道,但是大家却经常用到它!当你按下Ctrl+Alt+Del时,Winlogon就激活了,此时你会看到一个Windows安全窗口,窗口中显示当前登陆帐号和登陆时间,还有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”等按钮。
8 r9 \5 g w: y6 U7 f, w* @$ A( R4 J" ^- H! z% j/ Y" @' O
一、Winlogon是什么?
' s' y, @/ e/ b9 n' |
+ s$ J9 g* C( j/ C
Winlogon.exe是Windows XP登录管理器,位于C:\Windows\System32目录下,主要用于管理XP用户的登录和退出,处理用户登录和注销任务。
8 k0 n1 T% a. s% \+ h u9 B/ [ ?- Y" h0 o! h9 O8 c. l
当你按Ctrl+Alt+Del然后选择“任务管理器”,在进程列表中即可看到Winlogon.exe(图1)进程,其占用空间大小是动态变化的──与用户登录的时间有关。如果你登录XP系统一个小时左右,该进程将会占用1.2MB~8.5MB内存空间。
( M# U0 ?$ |! @# M) F
9 `' ]2 O! l- n2 @ 
' r: P, }: L) q5 e7 \; x% Z
) w8 H7 v1 H! E; E2 c4 U
图 1
: N7 ?& j5 @: ]( [: @3 s
7 W1 |# Q- o# E6 _7 K 二、检查你的Winlogon.exe是否正常?
. z2 k a: V+ Q3 C% a9 s, R% A0 r2 U( t7 h
由于Winlogon.exe是系统启动必需的进程、非常重要,所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的,当你感染它之后,它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统,PcShare就会随Winlogon.exe一起运行,而且还能躲过大部分网络防火墙的拦截。
2 u8 a9 [2 W7 W! Z: A) z+ j A) B4 v1 W! M0 ~+ Y6 i
正因为Winlogon.exe特别容易染上病毒和木马,所以关注Winlogon.exe是否染毒就很有必要了,那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察:
4 @7 p( ]* I0 y v6 u+ d3 q
& N: l( s% l# A4 Q$ m* ~; m 1、检查Winlogon.exe的名称与路径
4 u1 @) Q I# J$ I" I
. c' l1 j, R- h1 i$ [; h 与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样,Winlogon.exe的名称也是不区分大小写的,假如你在任务管理器中发现,Winlogon.exe有时是大写、有时又是小写,这也是正常的!不过你可要仔细检查,其名称中那个“O”到底是字母O、还是数字0?如果是数字0,Winlog0n.exe肯定就是病毒啦!
; w" O& G$ V; ]7 C' p8 q h) O% o! c( G4 p4 v5 F6 Y: Y/ V, ?0 Z
其次还要检查Winlogon.exe所在的路径,正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的,或者其所在路径是%Windows%,那么这个Winlogon.exe肯定也染上病毒了!
