เมื่อคุณเปิด Task Manager คุณอาจเห็นรายการ Rundll32.exe ในแท็บ Processes หรือคุณอาจพบกับ a ข้อผิดพลาด rundll32.exe เมื่อเริ่มต้นทุกครั้ง หรือระหว่างการปิดระบบ ผู้ใช้หลายคนสงสัยว่า rundll32.exe เป็นไวรัสหรือไม่ ถ้าไม่เช่นนั้น rundll32.exe ทำอะไรในระบบกันแน่?
rundll32.exe คืออะไร? มันเป็นไวรัส?
Rundll32.exe ซึ่งอยู่ใน Windows\System32
โฟลเดอร์เป็นไฟล์ระบบ Windows ที่ถูกต้อง ไม่ใช่ไวรัส!
แต่ถ้าคุณมีไฟล์อยู่ในโฟลเดอร์ใดนอกของคุณ Windows\System32
ไดเร็กทอรี อาจเป็นไฟล์ปลอมหรืออาจเป็นมัลแวร์ก็ได้
rundll32.exe ทำอะไร?
Rundll32.exe เป็นไฟล์ระบบที่รัน DLL DLL สามารถเลือกระบุฟังก์ชันจุดเข้าใช้งาน ในการรัน DLL ที่ระบุจุดเข้าใช้งาน จะใช้ rundll32.exe ไวยากรณ์บรรทัดคำสั่งสำหรับ Rundll32 มีดังนี้:
rundll32.exe,
เหตุใดรายการ rundll32.exe หลายรายการจึงปรากฏขึ้นในตัวจัดการงาน
รายการ rundll32.exe แต่ละรายการที่คุณเห็นในตัวจัดการงานอาจกำลังเรียกใช้โปรแกรมอื่น (DLL)
สมมติว่าคุณเปิดแอปเพล็ตของแผงควบคุม เช่น ตัวเลือกการจัดทำดัชนี เมื่อคุณเปิดแอปเพล็ต Control Panel แบบคลาสสิกของ Indexing Options Windows จะเรียกใช้คำสั่งนี้เบื้องหลัง:
rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll
ในทำนองเดียวกัน อาจมีแอปเพล็ตอื่นๆ ที่ทำงานอยู่ ซึ่งใช้ rundll32.exe
อีกตัวอย่างหนึ่งคือแอปเพล็ตเสียงในแผงควบคุม บรรทัดคำสั่งแบบเต็มเพื่อเปิดแอปเพล็ตเสียงคือ:
rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl
สำหรับแอปเพล็ตแผงควบคุมเวลาและวันที่ นี่คือบรรทัดคำสั่ง rundll32.exe ที่ใช้:
rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"
จะทราบได้อย่างไรว่าไฟล์ใดที่กระบวนการ Rundll32.exe กำลังทำงานอยู่
คุณสามารถดูบรรทัดคำสั่งแบบเต็มของแต่ละกระบวนการ Rundll32.exe ได้โดยใช้ตัวจัดการงาน คุณสามารถกำหนดค่าตัวจัดการงานให้แสดง คอลัมน์ชื่อบรรทัดคำสั่งและเส้นทางรูปภาพ ในโพรเซสเช่นเดียวกับมุมมองรายละเอียด
บันทึก: ตัวจัดการงานซึ่งมีการตั้งค่าเริ่มต้นจะแสดงเฉพาะชื่อกระบวนการ ID และสิ่งอื่น ๆ แต่ไม่แสดงอาร์กิวเมนต์บรรทัดคำสั่งแบบเต็มของแต่ละกระบวนการ
คุณอาจเห็นรายการดังต่อไปนี้ โดยไม่มีชื่อไฟล์ DLL ในอาร์กิวเมนต์ ผู้ใช้บางคนระบุว่าเกี่ยวข้องกับ กรูฟ มิวสิค ใน Windows 10
"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
การใช้ Command-line
หากต้องการดูรายการกระบวนการ rundll32.exe พร้อมกับบรรทัดคำสั่งและ ID กระบวนการ ให้เรียกใช้คำสั่งนี้ในหน้าต่างพร้อมรับคำสั่ง:
กระบวนการ WMIC โดยที่ชื่อ = "rundll32.exe" รับคำอธิบายภาพ, Commandline, Processid / รูปแบบ: รายการ
หากต้องการดูกระบวนการที่ทำงานภายใต้โทเค็นของผู้ดูแลระบบ ให้เรียกใช้คำสั่งด้านบนจาก ผู้ดูแลระบบ พร้อมรับคำสั่ง.
ผลลัพธ์ตัวอย่าง
คำบรรยายภาพ=rundll32.exe CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 คำบรรยาย = rundll32.exe CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580
รายการโมดูลที่ใช้โดยกระบวนการ RunDll32.exe
เพื่อดูรายการของโมดูลที่ถูกใช้โดยแต่ละอินสแตนซ์ของ rundll32.exe
ให้เปิดหน้าต่างพร้อมรับคำสั่งและเรียกใช้คำสั่งนี้:
รายการงาน /m /fi "IMAGENAME eq rundll32.exe"
คุณจะเห็นผลลัพธ์ดังนี้:
คำเตือนเกี่ยวกับ Rundll32.exe
คุณควรสงสัยเกี่ยวกับสิ่งต่อไปนี้ในระบบของคุณ:
- หากไฟล์ Rundll32.exe พบชื่อไฟล์ในตำแหน่งอื่นนอกไดเร็กทอรี Windows อาจเป็นไวรัส
- ระวังสิ่งที่กระบวนการ Rundll32.exe กำลังดำเนินการ โดยตรวจสอบตัวจัดการงาน ในระบบที่ถูกบุกรุก คุณมักจะเห็นกระบวนการ Rundll32.exe หนึ่งหรือหลายกระบวนการที่เรียกใช้ไฟล์ DLL ของมัลแวร์ปลอม ซึ่งอาจเปิดตัวเป็น รายการเริ่มต้น.
กล่าวโดยย่อ ให้จดบันทึกอาร์กิวเมนต์บรรทัดคำสั่งของรายการ Rundll32.exe ในตัวจัดการงาน นั่นคือ DLL ที่ Rundll32.exe เรียกใช้งาน
ที่เกี่ยวข้อง:วิธีแก้ไขข้อผิดพลาด Rundll32 หรือ RunDll เมื่อเริ่มต้น
คำขอเล็กน้อย: หากคุณชอบโพสต์นี้ โปรดแชร์สิ่งนี้
หนึ่งส่วนแบ่ง "เล็กน้อย" จากคุณจะช่วยอย่างมากในการเติบโตของบล็อกนี้ คำแนะนำที่ดีบางประการ:- ขามัน!
- แชร์ไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
- ทวีตมัน!