<br>
<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Windows NT is designed so that, unless system security is already<br>
compromised in some other way, only the Winlogon process, a trusted<br>
system process, can receive notification of this keystroke<br>
combination. This is because the kernel remembers the process ID of<br>
the Winlogon process, and allows only that process to receive the<br>
notification.<br>
<br>
So says Wikipedia.<br>
<br>
Interestingly, VMWare catches the sequence as well.<br>
<br></blockquote><div><br>I was thinking of a Alt+Sysrq combination capturable only by the kernel. (Ctrl+Alt+Sysrq ?)<br> </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

While it is true that the SAK will trigger a kernel event, it is also<br>
true that the major method of bypass isn't going to be anything so<br>
simple as hacking the log-in dialog or gksudo prompt.  No, that won't<br>
work.<br>
<br></blockquote><div><br>Why won't a well created spoof work? An interface that looks like the login interface / gksu interface but isn't.<br> </div></div>