Apa contoh menjalankan RunDll32 ini?

8

Saya menemukan sebuah instance dari rundll32 ketika memeriksa proses yang berjalan di kotak windows 10 saya.

Ini adalah baris perintah yang memulai sesuai dengan Process Explorer:

C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Apa artinya? Saya mencoba meneliti ini tetapi tidak menemukan apa pun.

Apakah itu baik / normal? Haruskah saya bunuh dan selidiki lebih lanjut?

beppe9000
sumber
22d8c27b-47a1-48d1-ad08-7da7abd79617 adalah clsid. Bisakah Anda menemukannya di registri Anda?
DavidPostill
2
Saya mencoba Edit-> Find (centang semua kotak centang) dan Mengekspor seluruh HKEY_CLASSES_ROOT dan mencarinya dengan editor teks. Saya tidak menemukan jejak id kelas itu ...
beppe9000
Saya juga menjalankan proses misteri ini. Lucunya, saya memiliki string ID yang persis sama dalam argumen.
silverscania
Di komputer saya, proses ini sering macet. Saya dapat menemukan bahwa proses induk adalah DllHost untuk "Shell Create Object Task Server", dari shell32.dll. Saya percaya setidaknya server itu sendiri adalah Windows builtin; Saya belum menemukan pengaruh pihak ketiga. superuser.com/posts/1279807
sourcejedi

Jawaban:

1

Saya melihat proses ini pada Windows 10, memproses Ubin Pengguna - lebih dikenal sebagai Gambar Akun Pengguna. Mungkin digunakan untuk memproses tipe data pengguna yang tidak dipercaya lainnya; Saya tidak tahu

Kode ini adalah bagian dari paket "shell" (antarmuka desktop) Windows, dan prosesnya berjalan sebagai pengguna "NT Authority / SYSTEM". Saya pikir ini berarti itu adalah bagian dari antarmuka login / "fast user switching". Perilaku yang saya amati semuanya ke Windows. Saya secara khusus mencari kode pihak ketiga (kereta), dan saya tidak menemukan sesuatu yang mencurigakan.

Windows Rundll32 (proses anak dari DllHost) mogok. Bagaimana saya bisa mengidentifikasinya?

Skenario

Saya menangkap jejak tumpukan thread 0, sementara itu memproses permintaan COM yang masuk. Ini menunjukkan kelas Windows_UI_Immersive!CUserTileValidator. Saya menangkap jejak ini karena prosesnya macet, ketika memproses gambar. Dalam model mental saya, ini adalah proses berpasir yang mendekompres gambar pengguna, tetapi saya berharap deskripsi yang tepat akan lebih kompleks.

Masalahnya khusus untuk satu pengguna: Saya dapat mereproduksi kerusakan dengan mengunci sesi saya dan masuk sebagai pengguna khusus ini, tetapi tidak sebaliknya. Gambar profil pengguna ditampilkan sebagai ikon default. Mengubah gambar profil pengguna menghentikan crash.

Saya tidak dapat menemukan dokumentasi untuk -localserveropsi Rundll32. Seperti komentator lain, nilai UUID tidak dapat ditemukan di mana pun di registri. Saya tidak tahu bagaimana Rundll32 mencari nilai ini! Istilah LocalServer digunakan di tempat lain ketika berbicara tentang perintah yang digunakan untuk meluncurkan proses server COM khusus. (Seringkali DllHost.exe, seperti yang disebutkan di bawah).

Rincian teknis

Proses Rundll32 memiliki proses induk, turunan dari DllHost.exe("COM Surrogate"). Melihat pada baris perintah DllHost, /ProcessIDparameternya adalah AppID yang tercantum dalam registri sebagai "Shell Create Object Task Server", dari shell32.dll. Kedua proses dijalankan sebagai "Otoritas / Sistem NT".

Dalam beberapa hal, crash yang saya lihat sudah diantisipasi. DllHost.exe dirancang untuk menjalankan objek COM yang tidak dapat diandalkan . Rupanya ini dalam sesi pengguna. Tautan saya tidak mengomentari tidak tahu seberapa baik melindungi objek COM yang tidak aman ; perhatian khusus ketika dijalankan sebagai SISTEM.

sourcejedi
sumber