Partager via

Débogage de WinLogon

  • Article

WinLogon est le processus en mode utilisateur qui gère la tâche des utilisateurs interactifs qui se connectent et se déconnectent, et gèrent toutes les instances de CTRL+ALT+SUPPR.

Contrôle de NTSD à partir du débogueur de noyau

Le moyen le plus simple de déboguer WinLogon consiste à utiliser NTSD et à le contrôler à partir du débogueur du noyau.

Activation du débogage WinLogon

Étant donné que vous redirigez la sortie du débogueur en mode utilisateur vers le débogueur de noyau, vous devez configurer une connexion de débogage de noyau. Consultez Mise en place pour le débogage.

Pour attacher un débogueur à WinLogon, vous devez parcourir le Registre afin que le processus soit débogué à partir du moment où il démarre. Pour configurer le débogage WinLogon, définissez HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Débogueur sur :

ntsd -d -x -g

L’option -d transmet le contrôle au débogueur de noyau. L’option -x permet au débogueur de capturer les violations d’accès en tant qu’exceptions de deuxième chance. L’option -g entraîne l’exécution du processus WinLogon après la pièce jointe. N’ajoutez pas le paramètre -g si vous souhaitez démarrer le débogage avant Winlogon.exe (par exemple, si vous souhaitez définir un point d’arrêt initial).

En outre, vous devez définir la valeur GlobalFlag sous la clé winlogon.exe pour REG_DWORD « 0x000400F0 ». Cela définit la vérification du tas et FLG_ENABLE_KDEBUG_SYMBOL_LOAD. Toutefois, étant donné que ce deuxième indicateur affecte uniquement le débogueur de noyau, les symboles doivent également être copiés sur l’ordinateur cible avant de démarrer le débogueur.

La modification du Registre nécessite un redémarrage pour prendre effet.

Exécution du débogage

Après le redémarrage suivant, le débogueur s’interrompt automatiquement dans WinLogon.

Pour obtenir une explication de la procédure à suivre , consultez Contrôle du débogueur de User-Mode à partir du débogueur de noyau.

Vous devrez définir le chemin d’accès de votre symbole à un emplacement sur votre ordinateur hôte ou à un autre emplacement sur votre réseau. Lorsque WinLogon est débogué, l’authentification réseau sur l’ordinateur cible ne fonctionne pas correctement.