Что это за экземпляр RunDll32?

1926
beppe9000

Я наткнулся на экземпляр rundll32 при проверке запущенных процессов на моем Windows 10 Box.

Это командная строка, которая запустила ее в соответствии с Process Explorer:

C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Что это значит? Я пытался исследовать это, но ничего не нашел.

Это хорошо / нормально? Должен ли я убить его и продолжить расследование?

6
22d8c27b-47a1-48d1-ad08-7da7abd79617 is a clsid. Can you find it in your registry? DavidPostill 7 лет назад 0
Я попробовал и Edit-> Find (проверил все флажки) и Экспорт целого HKEY_CLASSES_ROOT и поиска его с помощью текстового редактора. Я не нашел никаких следов этого идентификатора класса ... beppe9000 7 лет назад 2
У меня также есть этот загадочный процесс. Как ни странно, у меня точно такая же строка идентификатора в аргументах. silverscania 6 лет назад 0
На моей машине этот процесс часто дает сбой. Я могу найти, что родительский процесс - это DllHost для "Shell Create Object Task Server", от shell32.dll. Я полагаю, что по крайней мере сам сервер является встроенным в Windows; Я не нашел никакого стороннего влияния еще. https://superuser.com/posts/1279807 sourcejedi 6 лет назад 0

2 ответа на вопрос

2
Jack Hadley

По словам кого-то из MSDN, это часть окон, называемая «Программа анализа производительности профилирования процессов (Программа Windows Performance Counter)»

https://translate.google.com/translate?hl=en&sl=zh-CN&u=https://social.msdn.microsoft.com/Forums/en-US/ea5b2358-f440-4fb6-bec3-029092ea3829/rundll32exe- localserver-% 3Fforum% 3D1761 и пред = поиск

0
sourcejedi

Я видел этот процесс в Windows 10, обрабатывая плитки пользователей - более известные как картинки учетных записей пользователей. Возможно, он используется для обработки других типов ненадежных пользовательских данных; Я не знаю.

Код является частью пакета Windows «оболочка» (интерфейс рабочего стола), и процесс запускается от имени пользователя «NT Authority / SYSTEM». Я думаю, это означает, что он является частью интерфейса входа в систему / быстрого переключения пользователей. Поведение, которое я наблюдал, относится к Windows. Я специально искал какой-либо (глючный) сторонний код и не нашел ничего подозрительного.

Windows Rundll32 (дочерний процесс DllHost) падает. Как я могу даже определить это?

сценарий

Я захватил трассировку стека потока 0, пока он обрабатывал входящий COM-запрос. Это показывает класс Windows_UI_Immersive!CUserTileValidator. Я захватывал этот след, так как происходил сбой процесса, когда он обрабатывал изображение. В моей ментальной модели это «песочница», которая распаковывает изображение пользователя, но я ожидаю, что точное описание будет более сложным.

Проблема была характерна только для одного пользователя: я смог воспроизвести сбой, заблокировав сеанс и войдя в систему как этот конкретный пользователь, но не наоборот. Изображение профиля пользователя отображалось как значок по умолчанию. Смена картинки профиля пользователя остановила сбои.

Я не могу найти документацию для -localserverопции Rundll32. Как и в других комментариях, значение UUID не может быть найдено нигде в реестре. Я не знаю, как Rundll32 ищет это значение! Термин LocalServer используется в другом месте, когда речь идет о команде, используемой для запуска процесса выделенного COM-сервера. (Часто DllHost.exe, как указано ниже).

Технические детали

У процесса Rundll32 был родительский процесс, экземпляр DllHost.exe(«Суррогат COM»). Если посмотреть на командную строку DllHost, то /ProcessIDпараметром был AppID, указанный в реестре как «Сервер задач создания объектов оболочки» из shell32.dll. Оба процесса выполнялись как «NT Authority / SYSTEM».

В некотором смысле, аварии, которые я видел, были ожидаемы. DllHost.exe был разработан для запуска ненадежных COM-объектов . Видимо, это было в пользовательской сессии. Моя ссылка не комментирует, не знаю, насколько хорошо она защищает небезопасные COM-объекты; особая проблема при запуске в качестве системы.

Похожие вопросы