rundll.exe是Windows 95/98/Me系統的一部分。這個程式對系統的正常執行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木馬的一部分。
使用方法
動態連結庫函式啟動器——Rundll32
無論是Rundll32.exe或Rundll.exe,獨立執行都是毫無作用的,要在程式後面指定載入DLL檔案。在Windows的任務管理器中,我們只能看到rundll32.exe程序,而其實質是呼叫的DLL。我們可以利用程序管理器等軟體來檢視它具體運行了哪些DLL檔案。
有些木馬是利用Rundll32.exe載入DLL形式執行的,但大多數情況下Rundll32.exe都是載入系統的DLL檔案,不用太擔心。另外要提起的是,有些病毒木馬利用名字與系統常見程序相似或相同特點,瞞騙使用者。所以,要確定所執行的Rundll32.exe是在%systemroot%system32目錄下的,注意檔名稱也沒有變化。執行Rundll32.exe程式,指定它載入shell32.dll檔案,而逗號後面的則是這個DLL的引數。瞭解了其原理,下面就可以自己挖掘出很多平時罕為人知的引數了。
第一步:執行eXeScope軟體,開啟一個某個DLL檔案,例如shell32.dll。
第二步:選擇“匯出→SHELL32.DLL”,在右邊視窗就可以看到此DLL檔案的引數了。
第三步:這些引數的作用一般可以從字面上得知,所以不用專業知識。要注意的是,引數是區分大小寫的,在執行時一定要正確輸入,否則會出錯。現在隨便找一個引數,例如RestartDialog,從字面上理解應該是重啟對話方塊。組合成一個命令,就是Rundll32.exe shell32.dll,RestartDialog ,執行後可以看見平時熟悉的Windows重啟對話方塊。
rundll.exe是Windows 95/98/Me系統的一部分。這個程式對系統的正常執行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木馬的一部分。
使用方法
動態連結庫函式啟動器——Rundll32
無論是Rundll32.exe或Rundll.exe,獨立執行都是毫無作用的,要在程式後面指定載入DLL檔案。在Windows的任務管理器中,我們只能看到rundll32.exe程序,而其實質是呼叫的DLL。我們可以利用程序管理器等軟體來檢視它具體運行了哪些DLL檔案。
有些木馬是利用Rundll32.exe載入DLL形式執行的,但大多數情況下Rundll32.exe都是載入系統的DLL檔案,不用太擔心。另外要提起的是,有些病毒木馬利用名字與系統常見程序相似或相同特點,瞞騙使用者。所以,要確定所執行的Rundll32.exe是在%systemroot%system32目錄下的,注意檔名稱也沒有變化。執行Rundll32.exe程式,指定它載入shell32.dll檔案,而逗號後面的則是這個DLL的引數。瞭解了其原理,下面就可以自己挖掘出很多平時罕為人知的引數了。
第一步:執行eXeScope軟體,開啟一個某個DLL檔案,例如shell32.dll。
第二步:選擇“匯出→SHELL32.DLL”,在右邊視窗就可以看到此DLL檔案的引數了。
第三步:這些引數的作用一般可以從字面上得知,所以不用專業知識。要注意的是,引數是區分大小寫的,在執行時一定要正確輸入,否則會出錯。現在隨便找一個引數,例如RestartDialog,從字面上理解應該是重啟對話方塊。組合成一個命令,就是Rundll32.exe shell32.dll,RestartDialog ,執行後可以看見平時熟悉的Windows重啟對話方塊。