深入Winlogon：用C++和Detours库拦截Windows关机/重启的实战代码解析-二趣网

深入Winlogon：用C++和Detours库拦截Windows关机/重启的实战代码解析

Windows系统关机流程看似简单，实则涉及复杂的进程间通信和权限控制机制。本文将聚焦于系统底层开发领域，通过Detours库实现对关键API的拦截，构建一个可靠的关机拦截系统。不同于常规的注册表修改或消息拦截方案，我们将直击Windows关机流程的核心——Winlogon进程与相关API的调用链。

1. Windows关机流程的技术解剖

现代Windows系统的关机流程已演变为一个多阶段的协同过程。从用户点击关机按钮到硬件断电，系统需要协调数十个服务和进程的退出操作。理解这个流程是构建可靠拦截机制的前提。

关键参与者：

Winlogon.exe：负责用户登录/注销和系统关机的核心进程
Wininit.exe：系统初始化进程，参与关机序列
LogonUI.exe：提供图形化登录界面，在关机时显示进度
Csrss.exe：客户端/服务器运行时子系统，管理GUI应用

当用户发起关机请求时，系统会经历以下典型阶段：

用户界面层：Explorer.exe接收关机指令（开始菜单、Alt+F4等）
会话管理：Winlogon协调用户会话的终止
服务终止：服务控制管理器(SCM)按顺序停止服务
进程清理：系统终止剩余用户进程
系统关闭：内核执行最后的清理并断电

在这个过程中，有几个关键API会被调用：

// 传统关机API（Win7及之前主要使用） BOOL ExitWindowsEx(UINT uFlags, DWORD dwReason); // 现代关机API（Win8之后引入） DWORD InitiateShutdownW( LPWSTR lpMachineName, LPWSTR lpMessage, DWORD dwGracePeriod, DWORD dwShutdownFlags, DWORD dwReason ); // 内核级关机函数（未公开） NTSTATUS NtShutdownSystem(SHUTDOWN_ACTION Action);

2. Detours库的核心原理与应用

Detours是微软研究院开发的函数拦截库，其核心原理是通过修改目标函数头部的指令实现控制流重定向。与传统的DLL注入相比，Detours提供了更稳定和精确的拦截能力。

2.1 Detours的工作机制

Detours实现拦截的三个关键组件：

目标函数(Target)：需要拦截的原始函数
跳板函数(Trampoline)：保存原始函数前5字节指令并跳转到剩余部分
拦截函数(Detour)：开发者提供的替代函数

x86架构下的典型拦截过程：

保存目标函数前5字节指令
用JMP指令覆盖这5字节，跳转到拦截函数
在拦截函数中可通过跳板函数调用原始功能

// 典型Detours使用模式 #include <detours.h> // 原始函数指针 static BOOL (WINAPI *TrueExitWindowsEx)(UINT, DWORD) = ExitWindowsEx; // 拦截函数 BOOL WINAPI MyExitWindowsEx(UINT uFlags, DWORD dwReason) { // 拦截逻辑 if (ShouldBlockShutdown()) { return FALSE; } // 调用原始函数 return TrueExitWindowsEx(uFlags, dwReason); } // 安装钩子 void InstallHook() { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(&(PVOID&)TrueExitWindowsEx, MyExitWindowsEx); DetourTransactionCommit(); }

2.2 多线程环境下的安全考虑

在拦截系统关键API时，必须考虑多线程竞争条件：

原子性操作：Detours的事务机制确保拦截过程是原子的
线程挂起：在修改代码段时挂起所有线程可避免竞争
内存保护：需要临时修改页面属性为可写

// 安全修改代码的示例流程 DWORD oldProtect; VirtualProtect(targetFunction, 5, PAGE_EXECUTE_READWRITE, &oldProtect); // 修改指令 VirtualProtect(targetFunction, 5, oldProtect, &oldProtect); FlushInstructionCache(GetCurrentProcess(), targetFunction, 5);

3. 实现关机拦截的技术方案

3.1 基础拦截：挂钩ExitWindowsEx

对于传统Windows版本（Win7及之前），挂钩ExitWindowsEx是最直接的方案：

BOOL WINAPI HookedExitWindowsEx(UINT uFlags, DWORD dwReason) { WCHAR message[256]; DWORD sessionId = WTSGetActiveConsoleSessionId(); // 识别关机类型 if (uFlags & EWX_SHUTDOWN) { swprintf(message, L"系统关机请求已被拦截"); } else if (uFlags & EWX_REBOOT) { swprintf(message, L"系统重启请求已被拦截"); } else { swprintf(message, L"系统注销请求已被拦截"); } // 显示拦截提示 DWORD response; WTSSendMessage(WTS_CURRENT_SERVER_HANDLE, sessionId, L"关机拦截", wcslen(L"关机拦截")*2, message, wcslen(message)*2, MB_OK, 0, &response, TRUE); // 返回FALSE表示阻止关机 SetLastError(ERROR_CANCELLED); return FALSE; }

3.2 现代系统适配：处理InitiateShutdownW

Windows 8及之后版本引入了新的关机API，需要额外处理：

DWORD WINAPI HookedInitiateShutdownW( LPWSTR lpMachineName, LPWSTR lpMessage, DWORD dwGracePeriod, DWORD dwShutdownFlags, DWORD dwReason) { // 终止LogonUI进程以阻止关机界面 TerminateProcessByNames(L"LogonUI.exe"); // 返回错误代码表示失败 return ERROR_OPERATION_ABORTED; }

3.3 内核级防护：处理NtShutdownSystem

对于强制关机情况，需要深入内核层面：

typedef enum _SHUTDOWN_ACTION { ShutdownNoReboot, ShutdownReboot, ShutdownPowerOff } SHUTDOWN_ACTION; typedef NTSTATUS (NTAPI *PNtShutdownSystem)(SHUTDOWN_ACTION Action); NTSTATUS NTAPI HookedNtShutdownSystem(SHUTDOWN_ACTION Action) { // 直接返回失败状态 return STATUS_ACCESS_DENIED; }

4. 跨版本兼容性解决方案

不同Windows版本存在显著差异，需要构建自适应拦截系统：

4.1 版本检测与适配

enum WindowsVersion { WIN_UNKNOWN, WIN_7, WIN_8, WIN_10, WIN_11 }; WindowsVersion GetWindowsVersion() { OSVERSIONINFOEX osvi = { sizeof(osvi) }; GetVersionEx((OSVERSIONINFO*)&osvi); if (osvi.dwMajorVersion == 6 && osvi.dwMinorVersion == 1) return WIN_7; if (osvi.dwMajorVersion == 6 && osvi.dwMinorVersion == 2) return WIN_8; if (osvi.dwMajorVersion == 10 && osvi.dwBuildNumber < 22000) return WIN_10; if (osvi.dwMajorVersion == 10 && osvi.dwBuildNumber >= 22000) return WIN_11; return WIN_UNKNOWN; }

4.2 进程保护绕过技术

现代Windows系统对关键进程实施了PPL(Protected Process Light)保护：

bool BypassPPL(DWORD pid) { // 使用已知漏洞或驱动接口绕过保护 // 注意：实际实现可能需要内核驱动配合 return InjectIntoProtectedProcess(pid); }

4.3 综合拦截方案实现

class ShutdownBlocker { public: bool Initialize() { version_ = GetWindowsVersion(); // 根据版本安装不同钩子 switch (version_) { case WIN_7: return HookExitWindowsEx() && HookNtShutdownSystem(); case WIN_8: return HookExitWindowsEx() && HookInitiateShutdownW(); case WIN_10: case WIN_11: return HookRpcMethods() && BypassPPL(GetWinlogonPid()); default: return false; } } private: WindowsVersion version_; // 各种钩子函数指针... };

5. 实战中的问题与解决方案

在实际开发中会遇到各种边界情况和特殊问题：

5.1 会话隔离问题

Winlogon运行在session 0隔离环境，常规UI无法显示：

void ShowSessionMessage(DWORD sessionId, const WCHAR* title, const WCHAR* message) { WTSSendMessage(WTS_CURRENT_SERVER_HANDLE, sessionId, title, wcslen(title)*2, message, wcslen(message)*2, MB_OK | MB_ICONWARNING, 0, NULL, TRUE); }

5.2 64位系统兼容性

需要考虑Wow64和纯64位环境差异：

#if defined(_WIN64) // 64位特定代码 #else // 32位特定代码 #endif

5.3 反病毒软件干扰

某些安全产品会检测API钩子：

bool IsHookDetected(PVOID function) { // 检查函数头部是否被修改 BYTE* code = (BYTE*)function; return code[0] == 0xE9; // JMP指令 }

6. 高级话题：RPC与COM拦截

现代Windows版本越来越多地使用RPC进行关机协调：

// 拦截RPC调用的示例框架 RPC_STATUS RPC_ENTRY HookedRpcBindingCall( RPC_BINDING_HANDLE Binding, ULONG ProcNum, void* pParams) { if (IsShutdownRpcCall(ProcNum)) { return RPC_S_ACCESS_DENIED; } return OriginalRpcBindingCall(Binding, ProcNum, pParams); }

7. 性能与稳定性考量

系统级钩子必须考虑性能和稳定性影响：

最小化拦截范围：只拦截必要函数
避免死锁：钩子函数中不调用可能被拦截的API
错误处理：妥善处理所有错误情况
卸载机制：提供干净的钩子卸载功能

class CriticalSectionGuard { public: CriticalSectionGuard(CRITICAL_SECTION& cs) : cs_(cs) { EnterCriticalSection(&cs_); } ~CriticalSectionGuard() { LeaveCriticalSection(&cs_); } private: CRITICAL_SECTION& cs_; };

在开发这类系统级工具时，实际测试发现Win10 20H2版本后微软加强了对Winlogon进程的保护，常规注入方式成功率明显下降。这种情况下，可能需要结合多个拦截点，包括RPC调用、COM接口和传统API钩子的组合方案，才能实现可靠的关机拦截效果。

企业官网建设流程全解析