Хост-процесс Windows ( Rundll32 ) — компонент операционных систем семейства Microsoft Windows , запускающий программы, находящиеся в динамически подключаемых библиотеках . Находится по адресу %WINDIR% \System32\rundll32.exe . Программа поддерживает параметры filename (название .DLL -файла), function_name (имя экспортированной функции в файле) и function-arguments (различные аргументы для выполнения) .

Библиотека как программа

Динамически подключаемая библиотека ( DLL ) обычно является программным модулем для предоставления функций другим программам, однако, она не может запускаться в ОС Windows напрямую. RUNDLL же позволяет вызывать отдельные функции DLL, имя которых задаётся в командной строке. Выполнение осуществляется в отдельном процессе, поэтому вызовы RunDLL используются и другими программами, которые хотят защитить свой процесс от ошибок в вызываемой DLL. Точно так же могут вызываться и функции программ в исполняемых файлах системы (.exe-файлы).

Примеры:

• RUNDLL32 SHELL32.DLL,Control_RunDLL hotplug.dll
  • Откроется функция Удалить или извлечь аппаратное устройство , например, подключённое к USB.
• RunDll32.EXE SHELL32.DLL,SHExitWindowsEx 2
RunDll32.EXE USER.EXE,ExitWindowsExec
  • Перезагрузка (перезагрузка системы) (в Windows XP программа Reboot управляется файлом shutdown.exe.)
• RunDll32.EXE URL.DLL,FileProtocolHandler "%1"
  • открывает файл под именем «%1» и связанное с ним приложение по умолчанию (автоматическое распознавание файла)

Панель управления

Файлы панели управления (CPL), которые обычно находятся в виртуальной папке панели управления, могут вызываться альтернативы методом, используя RUNDLL, вызванную с помощью командной строки вызовом :

Код:

• RUNDLL32 SHELL32.DLL,Control_RunDLL filename.CPL,@n,t
  • filename.CPL имя CPL-файла панели управления.
  • n… апплет в файле CPL
  • t… Количество вкладок, когда апплет имеет их несколько.

Примеры:

• RUNDLL32 SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,@0,1
  • открывает функции настройки часового пояса , даты / времени.
• RUNDLL32 shell32.dll,Control_RunDLL access.cpl,,4
  • Настройка мыши для пользователей с ослабленным зрением.

Использование

Этот метод может быть использован как в командной строке или при различных скриптов , так и с помощью обычных ярлыков (LINK-файлов). Поскольку функции работают в контакте с операционной системой, рекомендуется соблюдать осторожность в определённых экспериментах и рекомендуется только достаточно опытным пользователям.

Типичные источники ошибок

Предполагается, что функция, вызываемая Rundll32.exe, имеет следующую сигнатуру :

void CALLBACK NameFuction(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);

Этим, однако, нередко пренебрегают (подобные примеры на этой странице). Это часто приводит к повреждению стека и к непредсказуемому поведению, например, зацикливанию.

Безопасность

Угрозы безопасности могут происходить из-за использования rundll32 вирусами , шпионскими программами как передатчик для своих программ-вредителей.

Прежде всего это позволяет RUNDLL скрыть фактический вирус: в сообщениях об ошибках и записях журнала он определяется в качестве причины имя файла EXE. Ею оказывается rundll32.exe, но при этом абсолютно безупречной — вредоносная программа, находящаяся в DLL, и её имя не упоминается во многих случаях. Вместо того, чтобы определить, какие DLL является нежелательным, обвиняется rundll32.exe.

В случае, если этот файл находится в ином местоположении, нежели %windir%\system32\rundll32.exe и запущен из иного местоположения — то он может являться вирусом и не иметь отношения к оригинальному файлу.

Ссылки

• (неопр.) .
• The Geek. (англ.) . (30 июля 2008). Дата обращения: 30 апреля 2011. 13 мая 2012 года.

Примечания

В другом языковом разделе есть более полная статья (нем.) . Вы можете помочь проекту, расширив текущую статью с помощью перевода