使用WinXP很久了你了解Winlogon吗?

来源：作者：出处：综艺读书 2007-07-21

·WinXP虚拟内存标准设置方法
·无敌秘籍 WinXP不为人知的5个小秘密
·基本功能就够用了！把WinXP Home装进U盘
·巧妙破解WINXP的登录密码简法
·WINXP系统安装完毕优化全过程
·WinXP必不可少的系统调整和优化
·在WinXP上运行Vista边栏
·只需一个软件将WinXP变为一个伪苹果
·手把手教你WINXP远程协助功能
·WinXP急速启动最新技巧

　　提起Winlogon，许多WinXP用户可能都不知道，但是大家却经常用到它!当你按下Ctrl+Alt+Del时，Winlogon就激活了，此时你会看到一个Windows安全窗口，窗口中显示当前登陆帐号和登陆时间，还有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”等按钮。

　　一、Winlogon是什么?

　　Winlogon.exe是Windows XP登录管理器，位于C:\Windows\System32目录下，主要用于管理XP用户的登录和退出，处理用户登录和注销任务。

　　当你按Ctrl+Alt+Del然后选择“任务管理器”，在进程列表中即可看到Winlogon.exe(图1)进程，其占用空间大小是动态变化的──与用户登录的时间有关。如果你登录XP系统一个小时左右，该进程将会占用1.2MB～8.5MB内存空间。

图 1

　　二、检查你的Winlogon.exe是否正常?

　　由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。

　　正因为Winlogon.exe特别容易染上病毒和木马，所以关注Winlogon.exe是否染毒就很有必要了，那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察：

　　1、检查Winlogon.exe的名称与路径

　　与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病毒啦!

　　其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!

　　2、Winlogon.exe不会自动要求连接网络

　　Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4(下载地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，发现在进程列表中(图2)有Winlogon.exe进程打开某端口监听、要求连接网络，那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。

图 2

　　另外建议你运行一下软件Auto runs(下载地址http://www.mydown.com/soft/18/18943.html)，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，具体名称如下(如图3)，如果不是这些文件，就非常可疑了!