rundll32.exe 这个动作在做什么

显示全部楼层 · 发表于 2016-11-3 17:10:49

kxmp 发表于 2016-11-3 17:06
搜这个啊
7da7abd79617

也没有。。

显示全部楼层 · 发表于 2016-11-3 17:20:40

ELOHIM 发表于 2016-11-3 17:10
也没有。。

那没救了
只能试试底层注册表编辑器了

显示全部楼层 · 发表于 2016-11-3 17:23:30

kxmp 发表于 2016-11-3 17:20
那没救了
只能试试底层注册表编辑器了

这是中招的节奏吗？？？

显示全部楼层 · 发表于 2016-11-3 18:03:04

ELOHIM 发表于 2016-11-3 15:15
反正小白我一直就没有看懂过。困扰至今了。。
这个问题应该是去年发现的了。

本地？本地不能查，记得微软官网有，以前win98的时候研究过

显示全部楼层 · 发表于 2016-11-3 22:43:55

伊川书院发表于 2016-11-3 18:03
本地？本地不能查，记得微软官网有，以前win98的时候研究过

怎么查啊。。网址是什么呀？

一无所知。。。

显示全部楼层 · 发表于 2016-11-4 01:20:41

本帖最后由伊川书院于 2016-11-4 01:23 编辑

ELOHIM 发表于 2016-11-3 22:43
怎么查啊。。网址是什么呀？

一无所知。。。

示例：
命令列: rundll32.exe shell32.dll,Control_RunDLL
解释：RUND32.EXE执行+shell32.dll模块+执行shell32.dll的Control_RunDLL函数+此函数对应的参数

不同的DLL，调用的函数和参数是不同的
详细搜索关键字：windows api库查询

另外：了解API之前，建议先从“windows编程”开始学起

再另外：rundll32.exe本身没有什么功能，有功能的是所加载的DLL实现API的完整功能

显示全部楼层 · 发表于 2016-11-4 09:22:54

ELOHIM 发表于 2016-11-3 17:23
这是中招的节奏吗？？？

应该不是中招，这个有可能是metro应用和本机系统之间建立某种桥梁的方式，有可能是metro应用/和或其它win32/win64应用进行某些特殊操作时出来的代{过}{滤}理程序。我记得之前你问过软件保护组策略（类似EMET）的问题，有可能是你设置的保护策略，触发了系统使用代{过}{滤}理模式与应用沟通的行为。不必担心，应该不是木马病毒。

你这个问题的具体细节，恐怕只有去Old and New thing博客问微软工程师了。

显示全部楼层 · 发表于 2016-11-4 13:42:58

伊川书院发表于 2016-11-4 01:20
示例：
命令列: rundll32.exe shell32.dll,Control_RunDLL
解释：RUND32.EXE执行+shell32.dll模块+执 ...

谢谢………………

显示全部楼层 · 发表于 2016-11-4 13:45:42

峪飞鹰发表于 2016-11-4 09:22
应该不是中招，这个有可能是metro应用和本机系统之间建立某种桥梁的方式，有可能是metro应用/和或其它win ...

我自己也不认为是中招了。
一会儿去你提到的博客看一下。。

谢谢。

[系统] rundll32.exe 这个动作在做什么