有誰知道瑞星在windows登入介面表徵圖按鈕是如何放上去的嗎

用Winlogon  Notification  Package 
//想捕捉WinXP使用者登出，切換使用者的事件，用WTSRegisterSessionNotification這個函數，原形： 
//  BOOL  WTSRegisterSessionNotification( 
//    HWND  hWnd, 
//      DWORD  dwFlags 
//  );   
//

//使用HandlerEx  函數
//

//有一個方法：程式中用SetConsoleCtrlHandler函數來註冊一個回呼函數HandlerRoutine，這個回吊函數中可以收到 
//CTRL_LOGOFF_EVENT 
//CTRL_SHUTDOWN_EVENT   
//等訊息，可以處理了
//

   
          “Winlogon通知包(Winlogon  Notification  Package)”就是處理winlogon在切換狀態時發出的事件的DLL。你可以通過“Winlogon  Notification  Package”來監視winlogon事件的響應。你可以註冊這些DLL，那麼winlogon.exe會在啟動時載入它們，並且會在系統狀態切換時來調用註冊DLL的事件處理函數。當然這一點用來載入後門是在好不過了，因為載入的後門存在於winlogon.exe的進程中，而winlogon.exe是系統進程，一般情況下是無法終止它的，況且殺死它會導致系統崩潰或重啟，沒人會這麼做。用“Winlogon  Notification  Package”來載入後門的又一個好處是——你的後門將運行在system許可權下而不用註冊為系統服務。 
   
          為了註冊你的“Winlogon  Notification  Package”，必須在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows  NT\CurrentVersion\Winlogon\Notify”下建立你的“notification  package”子鍵。在我的系統中，存在6個子鍵，分別是：crypt32chain，cryptnet，cscdll，sclgntfy，SensLogn，termsrv。在“Notify”項下，可以根據需要建立如下索引值： 
   
  Asynchronous[REG_DWORD]：表明是否非同步處理winlogon事件，如設為  1，winlogon將啟動一個新線程來處理。 
  DllName[REG_EXPAND_SZ]：指定要載入的DLL名。 
  Impersonate[REG_DWORD]：表明是否以登陸使用者的許可權來處理事件。 
  Lock[REG_SZ]：鎖定案頭事件。 
  Logoff[REG_SZ]：登出事件。 
  Logon[REG_SZ]：登陸事件。 
  Shutdown[REG_SZ]：關機事件。 
  StartScreenSaver[REG_SZ]：啟動屏保事件。 
  StartShell[REG_SZ]：啟動shell（一般指explorer.exe）事件。 
  Startup[REG_SZ]：系統開機事件。 
  StopScreenSaver[REG_SZ]：停止屏保事件。 
  Unlock[REG_SZ]：解除案頭鎖定事件。 
   
  其中每個事件對應DLL中的一個匯出函數，即每當有事件發生時，winlogon.exe便調用相應的函數。譬如：DllName的值為“test.dll”，Logoff的值為“testlogoff”，那麼系統登出時winlogon.exe將調用test.dll中匯出的“testlogon”函數。 
   
          關於DLL的實現非常地簡單：只要匯出處理事件是要調用的函數就行，其他和別的DLL無異。以下是代碼的簡單實現： 
   
  //----------------------------------Start  of  WNP.C------------------------------------------- 
  /*Create  file  exports.def  with  content: 
  EXPORTS 
  testlogoff 
  testlogon 
  */ 
  #include  <windows.h> 
  #pragma  comment(linker,"/export:test=_testlogoff@4") 
  #pragma  comment(linker,"/export:test=_testlogon@4") 
  #pragma  comment(linker,"/entry:DllEntry") 
  #pragma  comment(linker,"/subsystem:windows") 
  #pragma  comment(linker,"/align:4096") 
  #pragma  comment(linker,"/dll") 
  #pragma  comment(linker,"/base:1976369152") 
   
  __declspec(dllexport)  void  __stdcall  testlogoff(DWORD  unknow) 
  { 
  MessageBox(NULL,"系統正在登出!","Winlogon  Notification  Package",MB_OK); 
  } 
   
  __declspec(dllexport)  void  __stdcall  testlogon(DWORD  unknow) 
  { 
  MessageBox(NULL,"系統正在登陸!","Winlogon  Notification  Package",MB_OK); 
  } 
   
  BOOL  __stdcall  DllEntry(HANDLE  hModule,DWORD  ul_reason_for_call,LPVOID  lpReserved) 
  { 
  switch  (ul_reason_for_call) 
  { 
  case  DLL_PROCESS_ATTACH:break; 
  case  DLL_THREAD_ATTACH:break; 
  case  DLL_THREAD_DETACH:break; 
  case  DLL_PROCESS_DETACH:break; 
  }return  TRUE; 
  } 
  //----------------------------------End  of  WNP.C--------------------------------------------- 
   
   
          將編譯好的test.dll複製到系統檔案夾，修改註冊表並重啟後，發現C:\WINNT\system32\test.dll已經成功載入到winlogon.exe進程中