Saya menemukan sebuah instance dari rundll32 ketika memeriksa proses yang berjalan di kotak windows 10 saya.
Ini adalah baris perintah yang memulai sesuai dengan Process Explorer:
C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
Apa artinya? Saya mencoba meneliti ini tetapi tidak menemukan apa pun.
Apakah itu baik / normal? Haruskah saya bunuh dan selidiki lebih lanjut?
windows
windows-10
dll
rundll32.exe
rundll
beppe9000
sumber
sumber
Jawaban:
Menurut seseorang di MSDN, itu adalah bagian dari windows yang disebut "Program Analisis Performa Kinerja Program (Program Penghitung Kinerja Windows)"
https://translate.google.com/translate?hl=id&sl=zh-CN&u=https://social.msdn.microsoft.com/Forums/en-US/ea5b2358-f440-4fb6-bec3-029092ea3829/rundll32exe- localserver-% 3Fforum% 3D1761 & prev = pencarian
sumber
Saya melihat proses ini pada Windows 10, memproses Ubin Pengguna - lebih dikenal sebagai Gambar Akun Pengguna. Mungkin digunakan untuk memproses tipe data pengguna yang tidak dipercaya lainnya; Saya tidak tahu
Kode ini adalah bagian dari paket "shell" (antarmuka desktop) Windows, dan prosesnya berjalan sebagai pengguna "NT Authority / SYSTEM". Saya pikir ini berarti itu adalah bagian dari antarmuka login / "fast user switching". Perilaku yang saya amati semuanya ke Windows. Saya secara khusus mencari kode pihak ketiga (kereta), dan saya tidak menemukan sesuatu yang mencurigakan.
Windows Rundll32 (proses anak dari DllHost) mogok. Bagaimana saya bisa mengidentifikasinya?
Skenario
Saya menangkap jejak tumpukan thread 0, sementara itu memproses permintaan COM yang masuk. Ini menunjukkan kelas
Windows_UI_Immersive!CUserTileValidator
. Saya menangkap jejak ini karena prosesnya macet, ketika memproses gambar. Dalam model mental saya, ini adalah proses berpasir yang mendekompres gambar pengguna, tetapi saya berharap deskripsi yang tepat akan lebih kompleks.Masalahnya khusus untuk satu pengguna: Saya dapat mereproduksi kerusakan dengan mengunci sesi saya dan masuk sebagai pengguna khusus ini, tetapi tidak sebaliknya. Gambar profil pengguna ditampilkan sebagai ikon default. Mengubah gambar profil pengguna menghentikan crash.
Saya tidak dapat menemukan dokumentasi untuk
-localserver
opsi Rundll32. Seperti komentator lain, nilai UUID tidak dapat ditemukan di mana pun di registri. Saya tidak tahu bagaimana Rundll32 mencari nilai ini! Istilah LocalServer digunakan di tempat lain ketika berbicara tentang perintah yang digunakan untuk meluncurkan proses server COM khusus. (SeringkaliDllHost.exe
, seperti yang disebutkan di bawah).Rincian teknis
Proses Rundll32 memiliki proses induk, turunan dari
DllHost.exe
("COM Surrogate"). Melihat pada baris perintah DllHost,/ProcessID
parameternya adalah AppID yang tercantum dalam registri sebagai "Shell Create Object Task Server", dari shell32.dll. Kedua proses dijalankan sebagai "Otoritas / Sistem NT".Dalam beberapa hal, crash yang saya lihat sudah diantisipasi. DllHost.exe dirancang untuk menjalankan objek COM yang tidak dapat diandalkan . Rupanya ini dalam sesi pengguna. Tautan saya tidak mengomentari tidak tahu seberapa baik melindungi objek COM yang tidak aman ; perhatian khusus ketika dijalankan sebagai SISTEM.
sumber