使用进程资源管理器获取 DLL 句柄时出现问题

使用进程资源管理器获取 DLL 句柄时出现问题

我试图了解 Windows 的某个部分是如何“构建”的,更具体地说是 winlogon.exe、msgina.dll 和 keymgr.dll 之间的交互

当我启动 Process Explorer 或 Dependancy Walker 时,我根本看不到密钥管理器,这让我很困惑。

Winlogon 总是在以下线程中启动:“NT_AUTHORITY\SYSTEM”。

我正在查看的密钥管理器部分是与“Windows 安全”对话框链接的“忘记密码向导”。我已经检查了密钥管理器,并且该向导肯定在该文件中。但是,当我运行向导时,进程资源管理器中没有密钥管理器的迹象。

它也不在我使用 depencancy walker 打开的任何进程中。(smaa、csrss、lsass、services、dllhost、svchost、alg、winlogon)。

知道为什么它没有显示吗?它可能以 Rundll32 的形式运行,但未显示在进程资源管理器中,并且 Rundll32 通常不用于如此高权限的线程。

为了记录,是否有人知道 DLL 句柄是什么,以避免我与进程资源管理器争斗以使其显示它。

答案1

可以通过在运行对话框中运行以下命令来激活“忘记密码向导”:

RunDll32.exe keymgr.dll,PRShowSaveWizardExW

是的,它是通过激活的RunDll32.exe

相关内容