win7 修改winlogon内存 禁用Ctrl+Alt+Delete

win7 修改winlogon内存 禁用Ctrl+Alt+Delete

WinDbg

1.右键管理员运行，否则无法Attach到Winlogon进程

2.设置Symbol 地址

File - Symbol File Path（Ctrl+S）
srv*c:\symbolslocal*http://msdl.microsoft.com/download/symbols;
其中http://msdl.microsoft.com/download/symbols 部分不变
C：\mbolslocal为下载的路径，自己设置

3.附加到Winlogon

File - Attach to a Process （F6）
选择Winlogon，一开始为中断状态，在这里设置断电
bu WMsgKMessageHandler
然后按F5，让Winlogon运行，这时候可以监听系统按键了。

4.定义偏移

按Ctrl+Shift+Esc 调出任务管理器
WinDbg触发断点，一直F8，直到出现
cmp eax，4    （4是Ctrl+Shift+Esc的ID）
在这里地址下断点，F5 重新监听，可以用bc把刚才第一个的断点删了
按Ctrl+Alt+Del
WinDbg触发断点 ，此时的 eax 为 0
下面的代码都是
cmp eax ，和一个数字直到
test eax，eax
jne 一个地址
（这里判断eax是否为0）
可以把jne改为jmp 就可以达到屏蔽Ctrl+Alt+Delete 的效果了

Winhex