Winlogon.exe 는 c: \ windows \ system32 디렉토리에 위치한 windows 로그인 관리자로서 주로 XP 사용자의 로그인 및 종료를 관리하고 사용자 로그인 및 로그아웃 작업을 처리하는 데 사용됩니다.
Ctrl+Alt+Del 을 누르고 "작업 관리자" 를 선택하면 프로세스 목록에서 Winlogon.exe 프로세스를 볼 수 있습니다. 이 프로세스는 사용자 로그인 시간과 관련된 공간 크기가 동적으로 변경됩니다. 한 시간 정도 시스템에 로그인하면 프로세스가 1.2MB~8.5MB 의 메모리 공간을 차지합니다.
Winlogon.exe 는 시스템 시작에 필요한 프로세스이며 매우 중요하기 때문에 현재 많은 트로이 목마 프로그램이 이를 주시하고 있습니다! 예를 들어, 국산 목마 프로그램에는 PcShare 라는 사람이 있는데, 감염된 후에는 Winlogon.exe 프로세스에 자신의 프로세스를 자동으로 삽입합니다. 나중에 시스템을 시작하면 PcShare 는 Winlogon.exe 와 함께 실행되며 대부분의 네트워크 방화벽 차단을 피할 수 있습니다.
다른 시스템 프로세스 (예: SMSS.EXE, LSASS.EXE, CSRSS.EXE 등) 와 마찬가지로 Winlogon.exe 의 이름도 대/소문자를 구분하지 않습니다. 작업 관리자에서 찾으면 winlogon. 그러나 그 이름의 "O" 가 문자 O 인지 숫자 0 인지 자세히 확인해야 합니까? 만약 숫자 0 이라면, Winlog0n.exe 는 분명히 바이러스일 것이다!
둘째, Winlogon.exe 가 있는 경로도 확인합니다. 일반 Winlogon.exe 는 c: \ windows \ SYSTEM32 디렉토리에 있어야 하며 system 사용자로 실행 중이어야 합니다. 작업 관리자에서 SYSTEM 사용자가 아닌 사용자로 실행 중이거나 해당 경로가 Windows 인 경우 Winlogon.exe 도 바이러스에 감염되었을 것입니다