Windows XP 几种登录方式解析

核心提示： 另一种是针对登录对话框的GINA木马，其原理是在登录时加载，Windows XP 几种登录方式解析(4)，以盗取用户的账号和密码，然后把这些信息保存到%systemroot%\system32下的WinEggDrop.dat中，它存储在本地，而对于加入到域的计算机，该木马会屏蔽系统以&ld

另一种是针对登录对话框的GINA木马，其原理是在登录时加载，以盗取用户的账号和密码，然后把这些信息保存到%systemroot%\system32下的WinEggDrop.dat中。该木马会屏蔽系统以“欢迎屏幕”方式登录和“用户切换”功能，也会屏蔽“Ctrl-Alt-Delete”的安全登录提示。

用户也不用太担心被安装了GINA木马，笔者在这里提供解决方案给大家参考：

◇正所谓“解铃还需系铃人”，要查看自己电脑是否安装过GINA木马，可以下载一个GINA木马程序，然后运行InstGina -view，可以查看系统中GinaDLL键值是否被安装过DLL，主要用来查看系统是否被人安装了Gina木马作为登录所用。如果不幸被安装了GINA木马，可以运行InstGina -Remove来卸载它。

3． LSA服务

LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号数据库中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机。

怎么看这三个字母有些眼熟？对了，这个就是和前阵子闹得沸沸扬扬的“震荡波” 扯上关系的服务。“震荡波”蠕虫就是利用LSA远程缓冲区溢出漏洞而获得系统最高权限SYSTEM来攻击电脑的。解决的方法网上很多资料，这里就不多讲了。

4． SAM数据库

SAM的全称为“Security Account Manager”——安全账号管理器，是一个被保护的子系统，它通过存储在计算机注册表中的安全账号来管理用户和用户组的信息。我们可以把SAM看成一个账号数据库。对于没有加入到域的计算机来说，它存储在本地，而对于加入到域的计算机，它存储在域控制器上。