Knihovna „msgina.dll“ a její nahrazování knihovnou „fakegina.dll“
Msgina.dll je knihovna, kterou volá winlogon.exe. Winlogon je proces, který se stará o přihlášení, odhlášení a spuštění uživatelského prostředí. Msgina.dll zobrazí dialog pro zadání přihlašovacích údajů, po jejich zadání zavolá zpátky winlogon.exe, který tyto údaje předá lsass.exe. Ten provede porovnání se souborem SAM.
Napadne nás, co když nahradíme msgina.dll vlastní knihovnou? Používala (používá) se k tomu knihovna fakegina.dll, funguje stejně jako msgina.dll až na to, že citlivé přihlašovací údaje uloží do souboru na pevný disk. Toto téma bylo aktuální před pár lety, v dnešní době už fakeginu dokáže odhalit prakticky každý antivir, takže už takové nebezpečí nehrozí, ale dříve to bylo velice aktuální téma.
Pokud ovšem někdo nepoužívá antivir, i když by mě to dost překvapilo, je to použitelné. Msgina.dll se nachází v %windir%\system32\ a v %windir\system32\dllcache. Pokud se nahradí msgina.dll v system32 a nenahradí se v dllcache, je to k ničemu, protože msgina.dll v dllcache se nakopíruje do system32 v případě, že dojde k nějaké změně. Proto se nejdřív musí nahradit dllcache a až potom system32.
Toto je asi celé to kouzlo.