抢滩登“录”－WinXP登录面面观

       3． 服务登录

　　服务登录是一种特殊的登录方式。平时，系统启动服务和程序时，都是先以某些用户账号进行登录后运行的，这些用户账号可以是域用户账号、本地用户账号或SYSTEM账号。采用不同的用户账号登录，其对系统的访问、控制权限也不同，而且，用本地用户账号登录，只能访问到具有访问权限的本地资源，不能访问到其他计算机上的资源，这点和“交互式登录”类似。

　　从图3的任务管理器中可以看到，系统的进程所使用的账号是不同的。当系统启动时，一些基与Win32的服务会被预先登录到系统上，从而实现对系统的访问和控制。运行Services.msc，可以设置这些服务。由于系统服务有着举足轻重的地位，一般都以SYSTEM账号登录，所以对系统有绝对的控制权限，因此很多病毒和木马也争着加入这个贵族体系中。除了SYSTEM，有些服务还以Local Service和Network Service这两个账号登录。而在系统初始化后，用户运行的一切程序都是以用户本身账号登录的。

　　从上面讲到的原理不难看出，为什么很多电脑文章告诉一般用户，平时使用计算机时要以Users组的用户登录，因为即使运行了病毒、木马程序，由于受到登录用户账号相应的权限限制，最多也只能破坏属于用户本身的资源，而对维护系统安全和稳定性的重要信息无破坏性。

　　4． 批处理登录

　　批处理登录一般用户很少用到，通常被执行批处理操作的程序所使用。在执行批处理登录时，所用账号要具有批处理工作的权利，否则不能进行登录。

　　平常我们接触最多的是“交互式登录”，所以下面笔者将为大家详细讲解“交互式登录”的原理。

       二、交互式登录，系统用了哪些组件

　　1． Winlogon．exe

　　Winlogon.exe是“交互式登录”时最重要的组件，它是一个安全进程，负责如下工作：

　　◇加载其他登录组件。

　　◇提供同安全相关的用户操作图形界面，以便用户能进行登录或注销等相关操作。

　　◇根据需要，同GINA发送必要信息。

　　2． GINA

　　GINA的全称为“Graphical Identification and Authentication”——图形化识别和验证。它是几个动态数据库文件，被Winlogon.exe所调用，为其提供能够对用户身份进行识别和验证的函数，并将用户的账号和密码反馈给Winlogon.exe。在登录过程中，“欢迎屏幕”和“登录对话框”就是GINA显示的。

　　一些主题设置软件，例如StyleXP，可以指定Winlogon.exe加载商家自己开发的GINA，从而提供不同的Windows XP的登录界面。由于这个可修改性，现在出现了盗取账号和密码的木马。

　　一种是针对“欢迎屏幕”登录方式的木马，它模拟了Windows XP的欢迎界面。当用户输入密码后，就被木马程序所获取，而用户却全然不知。所以建议大家不要以欢迎屏幕来登录，且要设置“安全登录”。

　　另一种是针对登录对话框的GINA木马，其原理是在登录时加载，以盗取用户的账号和密码，然后把这些信息保存到%systemroot%\system32下的WinEggDrop.dat中。该木马会屏蔽系统以“欢迎屏幕”方式登录和“用户切换”功能，也会屏蔽“Ctrl-Alt-Delete”的安全登录提示。

　　用户也不用太担心被安装了GINA木马，笔者在这里提供解决方案给大家参考：

　　◇正所谓“解铃还需系铃人”，要查看自己电脑是否安装过GINA木马，可以下载一个GINA木马程序，然后运行InstGina -view，可以查看系统中GinaDLL键值是否被安装过DLL，主要用来查看系统是否被人安装了Gina木马作为登录所用。如果不幸被安装了GINA木马，可以运行InstGina -Remove来卸载它。

　　3． LSA服务

　　LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号数据库中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机。

　　怎么看这三个字母有些眼熟？对了，这个就是和前阵子闹得沸沸扬扬的“震荡波” 扯上关系的服务。“震荡波”蠕虫就是利用LSA远程缓冲区溢出漏洞而获得系统最高权限SYSTEM来攻击电脑的。解决的方法网上很多资料，这里就不多讲了。