XP系统登陆原理及其验证机制概述(3)

　三、登录前后，winlogon到底干了什么

　　如果用户设置了“安全登录”，在winlogon初始化时，会在系统中注册一个SAS (Secure Attention Sequence——安全警告序列)。SAS是一组组合键，默认情况下为Ctrl-Alt-Delete。它的作用是确保用户交互式登录时输入的信息被系统所接受，而不会被其他程序所获取。所以说，使用“安全登录”进行登录，可以确保用户的帐号和密码不会被黑客盗取。要启用“安全登录”的功能，可以运行“control userpassWords2”命令，打开“用户帐户”对话框，选择“高级”。选中“要求用户按Ctrl-Alt-Delete”选项后确定即可。以后，在每次登录对话框出现前都有一个提示，要求用户按Ctrl-Alt-Delete组合键，目的是为了在登录时出现WindowsXP的GINA登录对话框，因为只有系统本身的GINA才能截获这个组合键信息。而如前面讲到的GINA木马，会屏蔽掉“安全登录”的提示，所以如果“安全登录”的提示无故被屏蔽也是发现木马的一个前兆。“安全登录”功能早在Windows2000时就被应用于保护系统安全性。

　　在winlogon注册了SAS后，就调用GINA生成3个桌面系统，在用户需要的时候使用，它们分别为:

　　◇Winlogon桌面 用户在进入登录界面时，就进入了Winlogon桌面。而我们看到的登录对话框，只是GINA负责显示的。如果用户取消以“欢迎屏幕”方式登录，在进入WindowsXP中任何时候按下“Ctrl-Alt-Delete”，都会激活Winlogon桌面，并显示图5的“Windows安全”对话框。(注意，Winlogon桌面并不等同对话框，对话框只是Winlogon调用其他程序来显示的)

　　◇用户桌面 用户桌面就是我们日常操作的桌面，它是系统最主要的桌面系统。用户需要提供正确的帐号和密码，成功登录后才能显示“用户桌面”。而且，不同的用户，winlogon会根据注册表中的信息和用户配置文件来初始化用户桌面。

　　◇屏幕保护桌面 屏幕保护桌面就是屏幕保护，包括“系统屏幕保护”和“用户屏幕保护”。在启用了“系统屏幕保护”的前提下，用户未进行登录并且长时间无操作，系统就会进入“系统屏幕保护”;而对于“用户屏幕保护”来说，用户要登录后才能访问，不同的用户可以设置不同的“用户屏幕保护”。