winlogon.exe (Windows Logon Application) gère l’ouverture et la fermeture de session Windows.
winlogon.exe gère la connexion et déconnexion interactive des utilisateurs. Il lance LogonUI.exe, qui utilise un fournisseur d’informations d’identification pour recueillir les informations d’identification de l’utilisateur. l’utilisateur, puis transmet les informations d’identification à lsass.exe pour validation. Une fois que l’utilisateur est authentifié, winlogon.exe charge le fichier NTUSER.DAT de l’utilisateur dans HKCU et lance le shell de l’utilisateur (généralement explorer.exe) via userinit.exe.
Plus d’info sur l’ouverture de session ici 👾
Localisation
%SYSTEMROOT%\System32\winlogon.exe
DFIR
Processus Parent : créé par une instance de smss.exe qui se termine, donc les outils ne fournissent généralement pas le nom du processus parent.
Utilisateur / Compte : Local System
Nombre d’instance : plusieurs (un par utilisateur connecté)
Lancement : secondes après le démarrage puis à chaque ouverture de session
Remarques
- winlogon.exe lance généralement lsass.exe, services.exe,userinit.exe au démarrage
1 reply on “ winlogon.exe ”
Comments are closed.