Я пытаюсь увидеть, как определенный раздел Windows "построен", более конкретно взаимодействие между winlogon.exe, msgina.dll и keymgr.dll

Когда я запускаю Process Explorer или Dependancy Walker, я просто не вижу Key Manager нигде, что меня смущает.

Winlogon всегда запускается в следующем потоке: NT_AUTHORITY\SYSTEM.

Часть диспетчера ключей, на которую я смотрю, - это «Мастер забытых паролей», связанный с диалоговым окном «Безопасность Windows». Я проверил Key Manager, и мастер определенно находится в этом файле. Однако, когда я запускаю мастер, нет никаких признаков Key Manager в Process Explorer.

И при этом я ни в каком процессе не открываю ходок зависимости. (smaa, csrss, lsass, services, dllhost, svchost, alg, winlogon).

Есть идеи, почему он не появляется? Возможно, он работает как Rundll32, но не отображается в проводнике процессов, а Rundll32 обычно не используется в потоке с такими высокими привилегиями.

Для записи кто-нибудь случайно знает, что такое дескриптор DLL, чтобы спасти меня, борющегося с проводником процессов, чтобы заставить его показать это.

1 ответ1

0

"Мастер забытого пароля" можно активировать, запустив в диалоговом окне "Выполнить" следующее:

RunDll32.exe keymgr.dll,PRShowSaveWizardExW

Так что, да, он активируется через RunDll32.exe .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .