W4yne - Sa 23.07.11 12:04
Titel: Eigenen Prozess als Child von Prozess Winlogon.exe starten

---

Hallo, ich hoffe ihr könnt mir helfen.
Letztens ist mir nach der Installation eines Programmes aufgefallen, dass wenn ich das Programm mit
Doppelklick starte, es als Childprocess von winlogon.exe läuft.
Nun meine Frage: Wie kann ich bestimmen, dass mein Programm nicht unter Explorer.exe laufen soll, sondern eben unter Winlogon.exe?

mfg W4yne

PS: Das hab ich mit dem ProcessExplorer von Sysinternals festgestellt.

Moderiert von Narses: Titel geändert, war: "Prozess Winlogon.exe".

jaenicke - Sa 23.07.11 13:36

---

Dafür musst du den Prozess dazu bringen das Programm zu starten, z.B. per DLL Injection.

Aber was hat das für einen Sinn? :gruebel:

W4yne - Sa 23.07.11 13:45

---

Ich hab mich mit Netops, einer RemoteSoftware die in Schulen verwendet wird, herumgespielt und dabei
ist mir aufgefallen, dass der Client (Student) nicht unter explorer.exe läuft sonder unter winlogon.exe läuft.
Und da hab ich mir gedacht, wie bekommt das der Client gebacken, wenn er nicht mit Administratorrechten ausgestattet ist.

mfg W4yne

ujr - Sa 23.07.11 16:21

---

W4yne hat folgendes geschrieben :

wie bekommt das der Client gebacken, wenn er nicht mit Administratorrechten ausgestattet ist

Im Grunde ist das die falsche Frage. Das klingt so, als wäre es ein lohnendes Ziel bzw. hätte man Vorteile davon, von Winlogon gestartet zu werden und der Client (den es vor dem Start als Prozess gar nicht gibt) könnte dies veranlassen. Zumal, wenn Du ein Programm per Doppelklick startest, es immer vom Explorer gestartet wird.

Wenn Dich das Thema interessiert, google mal nach "winlogon notify" und "winlogon logonui". Netop kenne ich allerdings nicht und kann darum nicht sagen, was es macht.

jaenicke - Sa 23.07.11 16:27

---

Das ganze ist auch in der MSDN Dokumentation beschrieben:
http://msdn.microsoft.com/en-us/library/aa380545.aspx