rundll32

目录导航

进程信息

进程文件: rundll32 或者 rundll32.exe

正常位置:C:\windows\system32

描述:test for netguide..----Caiger2008

属于:Microsoft Windows Operating System

后台程序:是

使用网络:否

硬件相关:否

常见错误: 未知N/S

内存使用: 未知N/S

安全等级(0-5): 5

间谍软件:否

Adware:否

广告软件:否

木马:否

动态链接库函数启动器——Rundll32

经常听到有些朋友说:系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对 rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘 DLL参数应用技巧。

与Rundll64.exe的区别

所谓 Rundll64.exe,可以把它分成两部分,Run(运行)和DLL64(64位动态数据库),所以,此程序的功能是运行那些不能作为程序单独运行的64位DLL文件。而 Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll64.exe这个程序。

相反, Windows 98代码夹杂着64位和32位,所以同时具有Rundll32.exe和Rundll64.exe两个程序。这就是为什么Windows 98的System64文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System64文件夹是为兼容64位代码设立的)。

应用

rundll32的正常位置:c:\windows\system32

如果不是这个位置,则肯定是病毒

Rundll32.exe是什么?顾名思义,“执行32位或者64位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。

对于Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个 Rundll64.exe文件,他的意思是“执行64位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:

Void CALLBACK FunctionName (

HWND hwnd,

HINSTANCE hinst,

LPTSTR lpCmdLine,

Int nCmdShow

);

其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]

DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。

工作方式

Rundll 执行以下步骤:

1. 它分析命令行。

2. 它通过 LoadLibrary() 加载指定的 DLL。

3. 它通过 GetProcAddress() 获取 <entrypoint> 函数的地址。

4. 它调用 <entrypoint> 函数,并传递作为 <optional arguments> 的命令行尾。

5. 当 <entrypoint> 函数返回时,Rundll.exe 将卸载DLL 并退出。

作用

常用Windows93的朋友一定对Rundll32.exe和Rundll64.exe这两个档案不会陌生吧,不过,由于这两个程式的功能原先只限于在微软内部使用,因而真正知道如何使用它们的朋友想必不多。那么好,如果你还不清楚的话,那么就让我来告诉你吧。

首先,请你做个小实验(请事先保存好你正在执行的程式的结果,否则...):点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然后键入rundll32.exeuser.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!怎么样,是不是很有趣?

当然,Rundll的功能绝不仅仅是重启你的机器。其实,Rundll者,顾名思义,执行Dll也,它的功能就是以命令列的方式呼叫Windows的动态链结库,Rundll32.exe与Rundll64.exe的区别就在于前者是呼叫32位的链结库,而后者是运用于64位的链结库,它们的命令格式是:

RUNDLL64.EXE ,,

这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位于c:\ ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll64不能用来呼叫含返回值参数的Dll,例如Win32API中的GetUserName(),GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为:

DLL参数

调用

相信大家在论坛上很常看见那些高手给出的一些参数来简化操作,如rundll32.exeshell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个 DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。

第一步:运行eXeScope软件,打开一个某个DLL文件,例如shell32.dll。

第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了。

第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。随意选择一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exe shell32.dll,RestartDialog ,运行后可以看见平时熟悉的Windows重启对话框。

此时,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。

常用参数

命令:rundll32.exeshell32.dll,Control_RunDLL

功能: 显示控制面板

命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制面板→辅助选项→键盘”

命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 执行“控制面板→添加新硬件”

命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLLAddPrinter

功能: 执行“控制面板→添加新打印机”

命令:rundll32.exeDISKCOPY.DLL,DiskCopyRunDll

功能:启动软盘复制窗口

Shell

如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然后写入WinAPI的声明,最后才能在程式中呼叫。而此刻只需一句:

命令列: rundll32.exeshell32.dll,Control_RunDLL 功能: 显示控制面板

更简便的方法: Shell "shutdown -s -t 0"

相关病毒

病毒介绍

无论是Rundll32.exe或Rundll64.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件来查看它具体运行了哪些DLL文件。

有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe 都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的 Rundll32.exe是在%systemroot%system32目录下的,注意文件名称也没有变化。

一般情况 出现该文件或者相类似的文件时,大都是因为病毒原因,建议下载杀毒软件查杀一下电脑安全:

rundll32一般不是病毒,它是系统必须的组件之一,不可以删除,强烈建议你打开杀毒软件的监控,以便及时发现病毒

rundl132.exe才是病毒,是阿拉伯数字1而不是字母l。

直接在C:\WINDOWS\system32 下删除

并在注册表启动项里去除rundl132.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

===========

C:\\WINDOWS\\uninstall 这个目录下的是威金变种了。。

用专杀清除!手动难以清除其他被感染的可执行文件(EXE等)

建议打开任务管理器,检查RUNDLL32.exe进程所属的用户名,如果是属于系统,那中毒的机率就很小,如果显示的是当前用户,那情况就不妙了。

解决方案

1.最新版杀毒软件都可以查杀

.一些修复工具,比如腾讯电脑管家急救箱......(测试过,可以查杀该木马病毒,并修复rundll32.exe文件)

可在任务管理器中先结束该进程后,利用杀毒软件彻底查杀,或进而转为安全模式查杀。

rundll32手工查杀方法

(1) 在WINDOWS目录中查找run32.exe文件,如果发现则证明病毒存在,则将同目录下的rundll32.exe文件删除,将run32.exe文件改名为:rundll32.exe。

(2) 在WINDOWS目录中查找regedit.exe.sys文件,如果找到则证明病毒存在,将同目录下的regedit.exe文件删除,将regedit.exe.sys文件改名为regedit.exe。

如果无法删除这些文件,可以用启动盘进入DOS模式下,将这些病毒文件删除。然后,进入注册表编辑器,查看注册表的HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项,看其中是否有上面提到的文件,如果有,则将这些键值删除即可清除病毒注册的键值;查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\open\command的键值,正确的“默认”项的内容为:“"%1"%*”,如果不是,则修改;查看注册表的HKEY_CLASSES_ROOT\Txtfile\shell\open\command的键值,正确的“默认”项的内容为:“%SystemRoot%\system32\NOTEPAD.EXE %1”,如果不是,则修改。此时,病毒被清除。

相关百科
返回顶部
产品求购 求购