Ctrl-Alt-Del登录后的基本原理是什么

#1 楼

此组合称为安全注意密钥。 Windows内核被“连线”以通知Winlogon，并且没有其他人知道此组合。这样，当您按Ctrl + Alt + Del组合键时，可以确定†您在真实的登录表单中键入密码，而不是其他尝试窃取密码的伪造过程。例如，一个看起来与Windows登录完全类似的应用程序。

在Linux中，存在一个松散定义的等效项，即Ctrl + Alt + Pause。但是，它并不完全相同。它会杀死所有东西，除了您试图输入密码的地方。到目前为止，在运行X时没有实际的等效方法。

†这意味着对系统本身的完整性有信任，仍然可以修补内核并为其他目的覆盖此行为（恶意或完全合法）

#2 楼

Ctrl-Alt-Del是Windows上的安全注意密钥。操作系统对此组合键强制采用强力的非拦截策略。到最后一个像素。然后，您登录计算机，启动应用程序，然后走开，直到一些毫不怀疑的受害者找到计算机，尝试登录，并将其用户名和密码提供给您的应用程序。然后，您的应用程序只需模拟死亡的蓝屏，或者实际上是使用户登录，以完成这种错觉。您的应用程序可以抓住键盘并将所有按键重定向到其自身，而不需要管理权限，但Ctrl-Alt-Del除外，而OS不允许对其进行重定向。按Ctrl-Alt-Del键可确保您获得的是真正的登录屏幕，而不是模仿屏幕。

#3 楼

答案实际上可以在我们的姊妹站点ServerFault上找到。 CTRL-ALT-DEL如何使Windows登录更加安全？

引用Oskar Duveborn接受的答案，


Windows（NT）内核旨在将此组合键的通知保留给单个过程：Winlogon。因此，只要Windows安装本身能够正常工作-第三方应用程序都无法响应此组合键（如果可以，则它可能会显示伪造的登录窗口并记录您的密码；） >

#4 楼

有关Windows 8 SAS支持的问题还提出了一些其他问题，后来又发布了一个由所有者单独删除的问题。由于我已经开始编写该问题的答案，并且该线程中也提到了Windows 8，因此将其发布在这里。如果该删除的问题再次出现，我将把答案移到那里。希望它将对那些想知道SAS在Windows 8手机和平板电脑上运行的地方有帮助。


根据Microsoft强制执行的Windows 8硬件认证要求： >
对于Windows 8，当按下
Windows键按钮和电源按钮的组合键时，会发送SAS信号。


所以这不是Secure Attention Key完全消失的情况（在无键盘设备上，其他人仍然可以像以前一样使用SAS），并且仅将两个标准硬件按钮Win + Pwr的组合添加到仍然存在的Ctrl + Alt + Del组合中，以更好地支持设备而没有

当然，因为它不仅是没有物理键盘的便携式设备的操作系统，而且台式机也没有这些硬件。 Win + Pwr物理按钮（但是它们确实有键盘），仍然保留了旧的SAS方法。如果出于某种原因想要禁用/重新启用此支持，则此博客（或本博客）将说明您可以通过几个简单的步骤来实现的方法。@Iszi在“本周的问题请求”博客中有关IT安全元的讨论中提出了另一个相关的问题（或实际上是一个更多的请求）：“我发现发现Windows和Linux不一定使用相同的安全注意密钥。如果有人可以对此稍加扩展，那就太好了。”由于我已经是这个问题的晚间聚会了，没有人能真正指责我劫持了rep train [1] [2]，结果真是-恩，这就是：<我可以找到的两种实现之间的主要区别是，Linux SAK（是的，与Windows中使用的SAS（安全注意序列）相反，这是Linux中使用的首字母缩写） ）是Linux SAK从未获得美国国家计算机安全中心（NCSC）的C2安全等级。 Windows NT具有：


当NT获得C2安全等级时，NCSC也将NT视为满足B级安全性的两个要求：Trusted Path
功能和受信任的设施管理功能。受信任的
路径功能可防止特洛伊木马程序在用户登录时拦截其用户名和密码。 NT的Trusted Path
功能以其Ctrl + Alt + Del登录注意
序列的形式存在。此击键序列（安全注意序列
（SAS））会导致NT登录对话框弹出，从而初始化一个帮助NT识别可能的特洛伊木马的进程。 NT绕过
当用户输入注意顺序时出现伪造登录对话框的任何特洛伊木马。

NT通过支持
单独的帐户来满足受信任的设施管理要求。行政职能的角色。例如，NT
提供了单独的管理帐户（管理员），负责备份计算机的用户
帐户（备份操作员）和
标准用户（Users）。据报道，微软正在开发B级的NT版本，但该公司尚未发布有关可能发布该版本的公开声明。


但是，这仍然不能真正解释为什么SAK和!=。好吧，让我们再深入一点。通过Andrew Morton处理的Linux 2.4.2安全注意密钥（SAK），我们可以得到以下信息：


从PC键盘上，Linux有两种相似但不同的方式提供
SAK。一种是Alt + SysRq + K序列。您不应该使用该序列。仅当内核使用SAS支持编译时才可用。

生成SAK的正确方法是使用
sysrq sysrq支持编译来定义
进入内核。

当键盘处于原始模式时，SAK可以正常工作。这意味着
一旦定义，SAK将终止正在运行的loadkeys'. This will work whether or not。如果系统处于
运行级别5，则X server将重新启动。这就是您要发生的事情。

应该使用什么键序列？好吧，Ctrl + Alt + Del用于重新启动计算机。 Ctrl + Alt + Backspace是X server的神奇之处。


它继续说明如何创建自定义SAK处理程序，但主要要点是实现与所发现的有很大不同在Windows中作为SAS，并且可能无法在内核级别实施，具体取决于是否为构建启用了X server支持。萨克？我会说是的。 LWN.net的用户tialaramex对其进行了巧妙的解释：


Linux对此功能提供了一些基本的底层支持，但是
它似乎从未提升到该功能的最终用户功能中。任何
后果。没有应用程序可以捕获SAK组合，因为很长
在运行任何允许用户空间应用程序按
按键的代码之前，内核已经注意到SAK已被按下，并且
短路到只处理这种特殊情况的路径。


位置：


在Windows中，当您按下SAK时，它会强制调用一个单独的
桌面，您可以将其视为类似于一个单独的X
服务器进程。此桌面由系统用户“拥有”，大致
相当于Unix root，因此任何有权篡改该桌面的人
都可以替换整个操作系统内核或他们想要的任何内容。


是否解释了为什么选择了不同的键盘顺序？我不确定。它显示了为什么Linux中不止一个这样的键盘序列以及它们之间的区别是什么（请参阅安德鲁·莫顿的解释），但是我找不到明确的答案来说明为什么选择了一个而不是另一个，以及为什么构建了不同的内核可能使用不同的SAK组合。我只能怀疑这归结为他们尊敬的作者的个人偏爱。

#5 楼

这个想法是一个受信任的Windows进程，称为Winlogon，并且只有Winlogon，可以读取Ctrl + Alt + Del键序列。该密钥序列称为安全注意序列（SAS）。通过输入此键序列，您基本上可以“证明”是Windows接受您的输入。通过创建假的用户名和密码表格，可以防止恶意程序拦截您的登录凭据。当然，这假定Winlogon不会受到损害，并且Winlogon可能会被篡改，从而可以绕开此措施。

如果出现不需要您的登录提示的情况要在配置为按Ctrl + Alt + Del的系统上按Ctrl + Alt + Del，请不要输入您的登录凭据，因为这意味着程序已劫持了登录提示。如果您拥有计算机，则将其重新启动到安全模式并清理其中的所有恶意软件。如果您的公司是计算机的所有者，请与系统管理员联系。

Windows 8的情况也是如此，只是对于没有物理键盘的平板电脑还有一个额外的SAS Win + Power（表面浮现在脑海中。）

#6 楼

Ctrl + Alt + Del在Windows登录之前就已经存在了，最初它只是在系统上进行了软重置。在其他系统/ OS上也有相同的组合（想到Atari ST）。因此，很难（就像人们所说的那样）。您需要询问做出此决定的人员，我很确定实际按下的键是任意的（但是现在我认为这可能是低级的硬件中断）。

#7 楼

原因的另一部分-AFAIK-在考虑选择组合键时会发现：很难用一只手同时按下Ctrl，Alt和Del的全部；而且也不大可能同时通过敲击键盘或敲打键盘等方式同时按下所有三个键。由于David Bradley选择此组合来触发软重启（维基百科），重要的是不要被错误触发。这引起了诸如显示用户登录提示之类的事情；这个想法是通过明确地决定按下“困难”的组合键（例如，在登录之前）来表明您的意图。 Ctrl + Alt + Del。