經(jīng)常有網(wǎng)友問(wèn),系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)里看到rundll32.exe,任務(wù)管理器里也有這個(gè)進(jìn)程,是不是中病毒了?其實(shí)吧,這說(shuō)明你對(duì)rundll32.exe不太了解。它原理真不復(fù)雜,搞懂了平時(shí)用起來(lái)還挺方便,還能自己折騰DLL參數(shù)啥的。
先說(shuō)下rundll32.exe和rundll.exe有啥區(qū)別。簡(jiǎn)單來(lái)說(shuō),rundll就是run dll的組合,意思就是運(yùn)行那些不能單獨(dú)運(yùn)行的dll文件。而rundll32,顧名思義就是用來(lái)跑32位的dll文件的。
像Win2000、XP這些NT內(nèi)核系統(tǒng),代碼都是純32位的,所以系統(tǒng)里壓根就沒(méi)有rundll.exe這個(gè)程序。但Win98就不一樣了,它的代碼混合了16位和32位,所以里面同時(shí)存在rundll32和rundll兩個(gè)程序。
這也是為啥Win98的系統(tǒng)文件夾叫System,到了Win2000/XP就變成了System32,因?yàn)檫@個(gè)時(shí)候的System文件夾其實(shí)是為兼容16位程序準(zhǔn)備的。
那問(wèn)題來(lái)了,rundll.exe是病毒嗎?不管是rundll32還是rundll,它們本身都不能干啥事,必須得在后面加上具體的dll文件才能干活。所以在任務(wù)管理器里看到rundll32進(jìn)程的時(shí)候,其實(shí)真正干活的是它調(diào)用的那個(gè)dll。
你可以用一些進(jìn)程查看工具(比如我們雜志之前介紹過(guò)的),來(lái)查清楚它到底加載了哪些dll。有些木馬確實(shí)會(huì)偽裝成rundll32調(diào)用dll的形式運(yùn)行,但大多數(shù)時(shí)候它調(diào)用的都是系統(tǒng)的dll,不用太慌。
另外提醒一句,有些病毒喜歡起個(gè)跟系統(tǒng)進(jìn)程差不多的名字來(lái)忽悠人,所以一定要確認(rèn)你看到的rundll32.exe是在C:WindowsSystem32目錄下,而且文件名沒(méi)被改過(guò)。
話(huà)說(shuō)回來(lái),那些高手是怎么找到合適的dll參數(shù)的?
先說(shuō)下rundll32.exe和rundll.exe有啥區(qū)別。簡(jiǎn)單來(lái)說(shuō),rundll就是run dll的組合,意思就是運(yùn)行那些不能單獨(dú)運(yùn)行的dll文件。而rundll32,顧名思義就是用來(lái)跑32位的dll文件的。
像Win2000、XP這些NT內(nèi)核系統(tǒng),代碼都是純32位的,所以系統(tǒng)里壓根就沒(méi)有rundll.exe這個(gè)程序。但Win98就不一樣了,它的代碼混合了16位和32位,所以里面同時(shí)存在rundll32和rundll兩個(gè)程序。
這也是為啥Win98的系統(tǒng)文件夾叫System,到了Win2000/XP就變成了System32,因?yàn)檫@個(gè)時(shí)候的System文件夾其實(shí)是為兼容16位程序準(zhǔn)備的。
那問(wèn)題來(lái)了,rundll.exe是病毒嗎?不管是rundll32還是rundll,它們本身都不能干啥事,必須得在后面加上具體的dll文件才能干活。所以在任務(wù)管理器里看到rundll32進(jìn)程的時(shí)候,其實(shí)真正干活的是它調(diào)用的那個(gè)dll。
你可以用一些進(jìn)程查看工具(比如我們雜志之前介紹過(guò)的),來(lái)查清楚它到底加載了哪些dll。有些木馬確實(shí)會(huì)偽裝成rundll32調(diào)用dll的形式運(yùn)行,但大多數(shù)時(shí)候它調(diào)用的都是系統(tǒng)的dll,不用太慌。
另外提醒一句,有些病毒喜歡起個(gè)跟系統(tǒng)進(jìn)程差不多的名字來(lái)忽悠人,所以一定要確認(rèn)你看到的rundll32.exe是在C:WindowsSystem32目錄下,而且文件名沒(méi)被改過(guò)。
話(huà)說(shuō)回來(lái),那些高手是怎么找到合適的dll參數(shù)的?