กระบวนการ Rundll32.exe คืออะไร มันเป็นมัลแวร์หรือไม่? - Winhelponline

What Is Rundll32 Exe Process



เมื่อคุณเปิดตัวจัดการงานคุณอาจเห็นรายการ Rundll32.exe ในแท็บกระบวนการ หรือคุณอาจพบไฟล์ rundll32.exe ผิดพลาดทุกครั้งที่เริ่มต้น หรือระหว่างการปิดเครื่อง ผู้ใช้หลายคนสงสัยว่า rundll32.exe เป็นไวรัสหรือไม่ ถ้าไม่ rundll32.exe ทำอะไรในระบบ?









rundll32.exe คืออะไร มันเป็นไวรัสหรือไม่?

Rundll32.exe ซึ่งอยู่ในไฟล์ Windows System32 โฟลเดอร์เป็นไฟล์ระบบ Windows ที่ถูกต้อง ไม่ใช่ไวรัส!



แต่ถ้าคุณมีไฟล์อยู่ในโฟลเดอร์ใด ๆ นอกไฟล์ Windows System32 จากนั้นอาจเป็นไฟล์ปลอมหรืออาจเป็นมัลแวร์





rundll32.exe คืออะไร

Rundll32.exe เป็นไฟล์ระบบที่เรียกใช้งาน DLL DLL สามารถระบุฟังก์ชันจุดเริ่มต้นได้ ในการดำเนินการ DLL ที่ระบุจุดเริ่มต้นจะใช้ rundll32.exe ไวยากรณ์บรรทัดคำสั่งสำหรับ Rundll32 มีดังนี้:

rundll32.exe,

เหตุใดรายการ rundll32.exe หลายรายการจึงปรากฏในตัวจัดการงาน

รายการ rundll32.exe แต่ละรายการที่คุณเห็นในตัวจัดการงานอาจกำลังเรียกใช้โปรแกรมอื่น (DLL)



สมมติว่าคุณเปิดแอพเพล็ต Control Panel เช่น Indexing Options เมื่อคุณเปิดแอพเพล็ตแผงควบคุมแบบคลาสสิกตัวเลือกการทำดัชนี Windows จะเรียกใช้คำสั่งนี้หลังฝากระโปรง:

rundll32.exe C:  WINDOWS  system32  shell32.dll, Control_RunDLL C:  WINDOWS  System32  srchadmin.dll

ในทำนองเดียวกันอาจมีแอพเพล็ตอื่น ๆ ทำงานอยู่ซึ่งใช้ rundll32.exe

อีกตัวอย่างหนึ่งคือแอพเพล็ตเสียงในแผงควบคุม บรรทัดคำสั่งแบบเต็มเพื่อเปิดแอพเพล็ต Sound คือ:

rundll32.exe C:  WINDOWS  System32  shell32.dll, Control_RunDLL C:  WINDOWS  System32  mmsys.cpl

สำหรับแอพเพล็ตแผงควบคุมเวลาและวันที่นี่คือบรรทัดคำสั่ง rundll32.exe ที่ใช้:

rundll32.exe Shell32.dll, Control_RunDLL 'C:  WINDOWS  system32  timedate.cpl'

จะทราบได้อย่างไรว่าไฟล์ใดที่กระบวนการ Rundll32.exe กำลังทำงานอยู่

คุณสามารถดูบรรทัดคำสั่งแบบเต็มของแต่ละกระบวนการ Rundll32.exe โดยใช้ตัวจัดการงาน คุณสามารถกำหนดค่าตัวจัดการงานให้แสดง คอลัมน์บรรทัดคำสั่งและชื่อเส้นทางรูปภาพ ในกระบวนการเช่นเดียวกับมุมมองรายละเอียด

ตัวจัดการงานแสดงบรรทัดคำสั่ง



บันทึก: ตัวจัดการงานพร้อมการตั้งค่าเริ่มต้นจะแสดงเฉพาะชื่อกระบวนการ ID และสิ่งอื่น ๆ แต่ไม่ใช่อาร์กิวเมนต์บรรทัดคำสั่งแบบเต็มของแต่ละกระบวนการ

คุณอาจเห็นรายการดังต่อไปนี้โดยไม่มีชื่อไฟล์ DLL ในอาร์กิวเมนต์ ผู้ใช้บางรายระบุว่าเกี่ยวข้องกับ Groove เพลง ใน Windows 10

'C:  Windows  system32  rundll32.exe' -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

ใช้ Command-line

หากต้องการดูรายการกระบวนการ rundll32.exe พร้อมกับบรรทัดคำสั่งและรหัสกระบวนการให้เรียกใช้คำสั่งนี้ในหน้าต่างพร้อมรับคำสั่ง:

กระบวนการ WMIC WHERE Name = 'rundll32.exe' รับ Caption, Commandline, Processid / format: list

หากต้องการดูกระบวนการที่ทำงานภายใต้โทเค็นของผู้ดูแลระบบให้เรียกใช้คำสั่งดังกล่าวจาก พร้อมรับคำสั่งของผู้ดูแลระบบ .

ตัวอย่างผลลัพธ์

Caption = rundll32.exe CommandLine = 'C:  WINDOWS  system32  rundll32.exe' C:  WINDOWS  system32  shell32.dll, Control_RunDLL C:  WINDOWS  System32  srchadmin.dll, ProcessId = 11404 Caption = rundll32.exe CommandLine = 'C:  WINDOWS  system32  rundll32.exe' Shell32.dll, Control_RunDLL 'C:  WINDOWS  system32  timedate.cpl' ProcessId = 10580

รายชื่อโมดูลที่ใช้โดยกระบวนการ RunDll32.exe

หากต้องการดูรายการโมดูลที่ใช้โดยแต่ละอินสแตนซ์ของ rundll32.exe เปิดหน้าต่างพรอมต์คำสั่งและเรียกใช้คำสั่งนี้:

รายการงาน / m / fi 'IMAGENAME eq rundll32.exe'

คุณจะเห็นผลลัพธ์ดังนี้:

คำเตือนเกี่ยวกับ Rundll32.exe

คุณควรสงสัยเกี่ยวกับสิ่งต่อไปนี้ในระบบของคุณ:

  • หากไฟล์ Rundll32.exe พบชื่อไฟล์ในตำแหน่งอื่นที่อยู่นอกไดเร็กทอรี Windows อาจเป็นไวรัส
  • ระวังสิ่งที่กระบวนการ Rundll32.exe กำลังดำเนินการโดยการตรวจสอบตัวจัดการงาน ในระบบที่ถูกบุกรุกคุณมักจะเห็นกระบวนการ Rundll32.exe หนึ่งหรือหลายกระบวนการที่เรียกใช้ไฟล์ DLL ที่เป็นมัลแวร์หลอกลวงซึ่งอาจเปิดตัวเป็น รายการเริ่มต้น .

    กล่าวโดยย่อให้จดบันทึกอาร์กิวเมนต์บรรทัดคำสั่งของรายการ Rundll32.exe ในตัวจัดการงาน - นั่นคือ DLL ซึ่งกำลังดำเนินการโดย Rundll32.exe

ที่เกี่ยวข้อง: วิธีแก้ไขข้อผิดพลาด Rundll32 หรือ RunDll เมื่อเริ่มต้น


คำขอเล็ก ๆ น้อย ๆ : หากคุณชอบโพสต์นี้โปรดแชร์สิ่งนี้?

การแบ่งปัน 'เล็ก ๆ น้อย ๆ ' หนึ่งครั้งจากคุณจะช่วยอย่างมากในการเติบโตของบล็อกนี้ คำแนะนำที่ดีบางประการ:
  • ขามัน!
  • แบ่งปันไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
  • ทวีต!
ขอบคุณมากสำหรับการสนับสนุนผู้อ่านของฉัน ใช้เวลาไม่เกิน 10 วินาที ปุ่มแชร์อยู่ด้านล่าง :)