Rundll.exe是病毒嗎?
作者: sdlin118 發表日期: 2006-09-06 10:53 文章屬性: 轉載 複製鏈結


經常聽到有些朋友說:呀！系統的註冊表啟動項目有rundll32.exe，系統進程也有rundll32.exe，是不是病毒呀？其實，這是對rundll32.exe介面不了解，它的原理非常簡單，了解並掌握其原理對於我們平時的應用非常有用，如果能理解了原理，我們就能活學活用，自己挖掘DLL參數應用技巧。

　　Rundll32.exe和Rundll.exe的區別

　　所謂Rundll.exe，可以把它分成兩部分，Run(運行)和DLL(動態數據庫)，所以，此程式的功能是運行那些不能作為程式單獨運行的DLL文件。而Rundll32.exe則用來運行32位DLL文件。Windows 2000/XP都是NT內核系統，其代碼都是純32位的，所以在這兩個系統中，就沒有rundll.exe這個程式。

　　相反，Windows 98代碼夾雜著16位和32位，所以同時具有Rundll32.exe和Rundll.exe兩個程式。這就是為什麼Windows 98的System文件夾為主系統文件夾，而到了Windows 2000/XP時就變成System32為主系統文件夾(這時的System文件夾是為相容16位代碼設立的)。

　　Rundll.exe是病毒？

　　無論是Rundll32.exe或Rundll.exe，獨立運行都是毫無作用的，要在程式後面指定載入DLL文件。在Windows的任務管理器中，我們只能看到rundll32.exe進程，而其實質是調用的DLL。我們可以利用進程管理器等軟體（本刊2004年21期有介紹）來查看它具體運行了哪些DLL文件。

　　有些木馬是利用Rundll32.exe載入DLL形式運行的，但大多數情況下Rundll32.exe都是載入系統的DLL文件，不用太擔心。另外要提起的是，有些病毒木馬利用名字與系統常見進程相似或相同特點，瞞騙用戶。所以,要確定所運行的Rundll32.exe是在%systemroot%\system32目錄下的，注意文件名稱也沒有變化。