首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[讨论] 如何现实在 Win7 系统关机之前同步执行自己的程序后再关闭系统
发表于: 2018-2-20 17:06 3426

[讨论] 如何现实在 Win7 系统关机之前同步执行自己的程序后再关闭系统

nmgwddj 活跃值
2018-2-20 17:06
3426
需求很简单,就是在系统关机前执行我们自己的程序(exe or dll),在执行我们的程序后在继续执行关机流程。

通过组策略的关机脚本是可以实现的,但是需要手动添加组策略,微软的 GPO 系列 API 没有找到可以编程方式添加的方法。

随后想到 Hook explorer.exe 的 ExWindowsEx,但是仅仅在点击开始菜单一些位置的关机才有效,如果我们自己执行 shutdown -s 是无法拦截的。

看到有历史资料是可以使用 Winlogon 的消息通知模型,但是在 Win7 已经取消该模型了。

想通过服务实现但是不想常驻一个服务进程,而且服务也是异步执行的,安全保障不大。

所以来请教各位是否有更好的办法?只能是应用层的,Hook 或者系统现有接口都可以。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
nmgwddj
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
Hook  了  Winlogon  的  ExitWindowsEx  函数成功拦截系统关机。
2018-2-20 17:31
0
PYGame
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
setprocessshutdownparemetes
2018-2-20 20:24
0
czcqq
雪    币: 350
活跃值: (87)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
4
用驱动,驱动有关机回掉接口的!
2018-2-22 12:29
0
nmgwddj
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
czcqq 用驱动,驱动有关机回掉接口的!
Win7x64,驱动是简单了,代价太大啊。。。
2018-2-22 21:43
0
Thead
雪    币: 407
活跃值: (1811)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
hook  NtSetSystemPowerState,正常关机都会调用这个接口
2018-2-22 23:20
0
nmgwddj
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
Thead hook NtSetSystemPowerState,正常关机都会调用这个接口
谢谢了,哪个进程下的?也是  winlogon  吗?
2018-2-23 02:23
0
Thead
雪    币: 407
活跃值: (1811)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
nmgwddj 谢谢了,哪个进程下的?也是 winlogon 吗?
ntdll.dll导出
2018-2-23 08:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//