|
|
7樓
發(fā)表于 2008-3-27 00:49:15
|
只看該作者
看來樓主對RUNDLL32.EXE不太了解 呵呵呵呵
Rundll32介紹和使用方法
動態(tài)鏈接庫函數啟動器——Rundll32
經常聽到有些朋友說:呀!系統(tǒng)的注冊表啟動項目有rundll32.exe�,系統(tǒng)進程也有rundll32.exe,是不是病毒呀��?其實����,這是對rundll32.exe接口不了解�,它的原理非常簡單�����,了解并掌握其原理對于我們平時的應用非常有用����,如果能理解了原理,我們就能活學活用���,自己挖掘DLL參數應用技巧���。
Rundll32.exe和Rundll.exe的區(qū)別
所謂Rundll.exe,可以把它分成兩部分�����,Run(運行)和DLL(動態(tài)數據庫)��,所以�,此程序的功能是運行那些不能作為程序單獨運行的DLL文件����。而Rundll32.exe則用來運行32位DLL文件����。Windows 2000/XP都是NT內核系統(tǒng)�,其代碼都是純32位的,所以在這兩個系統(tǒng)中�����,就沒有rundll.exe這個程序�。
相反,Windows 98代碼夾雜著16位和32位����,所以同時具有Rundll32.exe和Rundll.exe兩個程序。這就是為什么Windows 98的System文件夾為主系統(tǒng)文件夾�����,而到了Windows 2000/XP時就變成System32為主系統(tǒng)文件夾(這時的System文件夾是為兼容16位代碼設立的)�。
Rundll.exe是病毒?
無論是Rundll32.exe或Rundll.exe��,獨立運行都是毫無作用的�����,要在程序后面指定加載DLL文件。在Windows的任務管理器中���,我們只能看到rundll32.exe進程���,而其實質是調用的DLL。我們可以利用進程管理器等軟件來查看它具體運行了哪些DLL文件��。
有些木馬是利用Rundll32.exe加載DLL形式運行的���,但大多數情況下Rundll32.exe都是加載系統(tǒng)的DLL文件�����,不用太擔心��。另外要提起的是��,有些病毒木馬利用名字與系統(tǒng)常見進程相似或相同特點,瞞騙用戶����。所以,要確定所運行的Rundll32.exe是在%systemroot%system32目錄下的,注意文件名稱也沒有變化。 |
|
IP卡
狗仔卡
QQ好友和群
QQ空間
收藏
轉播
分享
淘帖
支持
反對
分享到微信
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
搶沙發(fā)
顯身卡
樓主
京公網安備 11010802025824號