神马文学网rundll32
来源:百度文库 编辑:神马文学网 时间:2024/04/27 13:28:05
百科名片
Identify Loaded
Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。
目录
描述Rundll 的工作方式略谈Rundll32.exe的作用Shell “命令列”rundll32相关病毒
rundll32进程信息
编辑本段
描述
Rundll32 的作用及应用
rundll32的正常位置:c:\windows\system32
如果不是这个位置,则肯定是病毒
Rundll32.exe是什么?顾名思义,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个 Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
编辑本段
Rundll 的工作方式
Rundll 执行以下步骤:
1. 它分析命令行。
2. 它通过 LoadLibrary() 加载指定的 DLL。
3. 它通过 GetProcAddress() 获取 函数的地址。
4. 它调用 函数,并传递作为 的命令行尾。
5. 当 函数返回时,Rundll.exe 将卸载 DLL 并退出。
编辑本段
略谈Rundll32.exe的作用
常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧,不过,由于这两个程式的功能原先只限于在微软内部使用,因而真正知道如何使用它们的朋友想必不多。那么好,如果你还不清楚的话,那么就让我来告诉你吧。
首先,请你做个小实验(请事先保存好你正在执行的程式的结果,否则...):点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然后键入rundll32.exe user.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!怎么样,是不是很有趣?
当然,Rundll的功能绝不仅仅是重启你的机器。其实,Rundll者,顾名思义,执行Dll也,它的功能就是以命令列的方式呼叫Windows的动态链结库,Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,而后者是运用于16位的链结库,它们的命令格式是:
RUNDLL.EXE ,,
这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位于c:\ ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll不能用来呼叫含返回值参数的Dll,例如Win32API中的GetUserName(), GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为:
编辑本段
Shell “命令列”
如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然后写入WinAPI的声明,最后才能在程式中呼叫。而现在只需一句:
Shell “rundll32.exe user.exe,restartwindows”就搞定了!是不是方便多了?
编辑本段
rundll32相关病毒
一般情况 出现该文件或者相类似的文件时,大都是因为病毒原因,建议下载杀毒软件查杀一下电脑安全:
rundll32一般不是病毒,它是系统必须的组件之一,不可以删除,强烈建议你打开杀毒软件的监控,以便及时发现病毒
rundl132.exe才是病毒 是阿拉伯数字1而不是字母l
你直接在C:\WINDOWS\system32 下删除
并在注册表启动项里去除rundl132.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
===========
C:\\WINDOWS\\uninstall 这个目录下的是威金变种了。。
用专杀清除!手动难以清除其他被感染的可执行文件(EXE等)
建议打开任务管理器,检查RUNDLL32.exe进程所属的用户名,如果是属于系统,那中毒的机率就很小,如果显示的是当前用户,哪情况就不妙了。
解决方案:
1.最新版杀毒软件都可以查杀
2.一些修复工具,比如金山急救箱,360急救箱......(测试过,可以查杀该木马病毒,并修复rundll32.exe文件)
可在任务管理器中先结束该进程后,利用杀毒软件彻底查杀,或进而转为安全模式查杀。
rundll32手工查杀方法
(1) 在WINDOWS目录中查找run32.exe文件,如果发现则证明病毒存在,则将同目录下的rundll32.exe文件删除,将run32.exe文件改名为:rundll32.exe。
(2) 在WINDOWS目录中查找regedit.exe.sys文件,如果找到则证明病毒存在,将同目录下的regedit.exe文件删除,将regedit.exe.sys文件改名为regedit.exe。
如果无法删除这些文件,可以用启动盘进入DOS模式下,将这些病毒文件删除。然后,进入注册表编辑器,查看注册表的HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项,看其中是否有上面提到的文件,如果有,则将这些键值删除即可清除病毒注册的键值;查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\open\command的键值,正确的“默认”项的内容为:“"%1"%*”,如果不是,则修改;查看注册表的HKEY_CLASSES_ROOT\Txtfile\shell\open\command的键值,正确的“默认”项的内容为:“%SystemRoot%\system32\NOTEPAD.EXE %1”,如果不是,则修改。此时,病毒被清除。
Identify LoadedRundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。
目录
描述Rundll 的工作方式略谈Rundll32.exe的作用Shell “命令列”rundll32相关病毒
rundll32进程信息
编辑本段
描述
Rundll32 的作用及应用
rundll32的正常位置:c:\windows\system32
如果不是这个位置,则肯定是病毒
Rundll32.exe是什么?顾名思义,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个 Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
编辑本段
Rundll 的工作方式
Rundll 执行以下步骤:
1. 它分析命令行。
2. 它通过 LoadLibrary() 加载指定的 DLL。
3. 它通过 GetProcAddress() 获取
4. 它调用
5. 当
编辑本段
略谈Rundll32.exe的作用
常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧,不过,由于这两个程式的功能原先只限于在微软内部使用,因而真正知道如何使用它们的朋友想必不多。那么好,如果你还不清楚的话,那么就让我来告诉你吧。
首先,请你做个小实验(请事先保存好你正在执行的程式的结果,否则...):点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然后键入rundll32.exe user.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!怎么样,是不是很有趣?
当然,Rundll的功能绝不仅仅是重启你的机器。其实,Rundll者,顾名思义,执行Dll也,它的功能就是以命令列的方式呼叫Windows的动态链结库,Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,而后者是运用于16位的链结库,它们的命令格式是:
RUNDLL.EXE ,,
这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位于c:\ ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll不能用来呼叫含返回值参数的Dll,例如Win32API中的GetUserName(), GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为:
编辑本段
Shell “命令列”
如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然后写入WinAPI的声明,最后才能在程式中呼叫。而现在只需一句:
Shell “rundll32.exe user.exe,restartwindows”就搞定了!是不是方便多了?
编辑本段
rundll32相关病毒
一般情况 出现该文件或者相类似的文件时,大都是因为病毒原因,建议下载杀毒软件查杀一下电脑安全:
rundll32一般不是病毒,它是系统必须的组件之一,不可以删除,强烈建议你打开杀毒软件的监控,以便及时发现病毒
rundl132.exe才是病毒 是阿拉伯数字1而不是字母l
你直接在C:\WINDOWS\system32 下删除
并在注册表启动项里去除rundl132.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
===========
C:\\WINDOWS\\uninstall 这个目录下的是威金变种了。。
用专杀清除!手动难以清除其他被感染的可执行文件(EXE等)
建议打开任务管理器,检查RUNDLL32.exe进程所属的用户名,如果是属于系统,那中毒的机率就很小,如果显示的是当前用户,哪情况就不妙了。
解决方案:
1.最新版杀毒软件都可以查杀
2.一些修复工具,比如金山急救箱,360急救箱......(测试过,可以查杀该木马病毒,并修复rundll32.exe文件)
可在任务管理器中先结束该进程后,利用杀毒软件彻底查杀,或进而转为安全模式查杀。
rundll32手工查杀方法
(1) 在WINDOWS目录中查找run32.exe文件,如果发现则证明病毒存在,则将同目录下的rundll32.exe文件删除,将run32.exe文件改名为:rundll32.exe。
(2) 在WINDOWS目录中查找regedit.exe.sys文件,如果找到则证明病毒存在,将同目录下的regedit.exe文件删除,将regedit.exe.sys文件改名为regedit.exe。
如果无法删除这些文件,可以用启动盘进入DOS模式下,将这些病毒文件删除。然后,进入注册表编辑器,查看注册表的HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项,看其中是否有上面提到的文件,如果有,则将这些键值删除即可清除病毒注册的键值;查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\open\command的键值,正确的“默认”项的内容为:“"%1"%*”,如果不是,则修改;查看注册表的HKEY_CLASSES_ROOT\Txtfile\shell\open\command的键值,正确的“默认”项的内容为:“%SystemRoot%\system32\NOTEPAD.EXE %1”,如果不是,则修改。此时,病毒被清除。
rundll32
Rundll32 详解
RUNDLL32内容
RUNDLL32内容
rundll32.exe
Rundll32.exe文件详解
RUNDLL32.EXE 是什么程序?
rundll32.exe的用途
使用Rundll32命令
rundll32.exe是什么?|rundll32.exe应用程序错误怎么修复?
Rundll32.exe的进程是什吗
解决解决鼠标右键被锁定、RUNDLL32
命令列:rundll32.exe user.exe,restartwindows
鲜为人知的安装卸载绝技 巧用Rundll32
DOS下用Rundll32调用Windows面板
Rundll32.exe使用方法大全_时光杂货铺
Shell语句用法心得(Rundll32.exe)
转:使用Rundll32.exe和Rundll.exe
工具文章-RUNDLL32.EXE 的作用
使用Rundll32.exe和Rundll.exe - rjren的专栏 - CSDNBl...
使用Rundll32.exe和Rundll.exe - rjren的专栏 - CSDNBl...
用xp系统的rundll32进行锁屏
DOS下用Rundll32调用Windows面板_共享知识,共同成长