Rundll32.exe là gì và tại sao nó chạy?

Bạn không nghi ngờ gì khi đọc bài viết này bởi vì bạn đã xem xét trình quản lý tác vụ và tự hỏi tất cả các quy trình rundll32.exe đó là cái quái gì và tại sao chúng lại chạy… Vậy chúng là gì?

LIÊN QUAN:Quá trình này là gì và tại sao nó lại chạy trên PC của tôi?

Bài viết này là một phần của loạt bài đang diễn ra của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Tốt hơn hãy bắt đầu đọc!

Giải trình

Nếu bạn đã sử dụng Windows trong bất kỳ khoảng thời gian nào, bạn đã thấy các tệp * .dll (Thư viện liên kết động) trong mọi thư mục ứng dụng, được sử dụng để lưu trữ các phần logic ứng dụng phổ biến có thể được truy cập từ nhiều các ứng dụng.

Vì không có cách nào để khởi chạy trực tiếp tệp DLL, ứng dụng rundll32.exe chỉ được sử dụng để khởi chạy chức năng được lưu trữ trong các tệp .dll được chia sẻ. Tệp thực thi này là một phần hợp lệ của Windows và thường không phải là mối đe dọa.

Lưu ý: quy trình hợp lệ thường được đặt tại \ Windows \ System32 \ rundll32.exe, nhưng đôi khi phần mềm gián điệp sử dụng cùng một tên tệp và chạy từ một thư mục khác để tự ngụy trang. Nếu bạn cho rằng mình gặp sự cố, bạn nên luôn quét để chắc chắn, nhưng chúng tôi có thể xác minh chính xác điều gì đang xảy ra… vì vậy hãy tiếp tục đọc.

Nghiên cứu sử dụng Process Explorer trên Windows 10, 8, 7, Vista, v.v.

Thay vì sử dụng Task Manager, chúng ta có thể sử dụng tiện ích Process Explorer phần mềm miễn phí của Microsoft để tìm hiểu điều gì đang xảy ra, tiện ích này có lợi ích khi hoạt động trong mọi phiên bản Windows và là lựa chọn tốt nhất cho bất kỳ công việc khắc phục sự cố nào.

Chỉ cần khởi chạy Trình khám phá quy trình và bạn sẽ muốn chọn Tệp \ Hiển thị chi tiết cho tất cả các quy trình để đảm bảo rằng bạn đang xem mọi thứ.

Bây giờ khi bạn di chuột qua rundll32.exe trong danh sách, bạn sẽ thấy một chú giải công cụ với các chi tiết về nó thực sự là gì:

Hoặc bạn có thể nhấp chuột phải, chọn Thuộc tính, sau đó xem tab Hình ảnh để xem tên đường dẫn đầy đủ đang được khởi chạy và thậm chí bạn có thể xem quy trình Gốc, trong trường hợp này là trình bao Windows (explorer.exe ), chỉ ra rằng nó có thể đã được khởi chạy từ một phím tắt hoặc mục khởi động.

Bạn có thể duyệt xuống và xem chi tiết của tệp giống như chúng ta đã làm trong phần trình quản lý tác vụ ở trên. Trong trường hợp của tôi, nó là một phần của bảng điều khiển NVIDIA và vì vậy tôi sẽ không làm gì với nó.

Cách tắt quy trình Rundll32 (Windows 7)

Tùy thuộc vào quy trình là gì, bạn sẽ không nhất thiết phải tắt nó, nhưng nếu muốn, bạn có thể nhập msconfig.exe vào hộp tìm kiếm hoặc hộp chạy của menu bắt đầu và bạn có thể tìm thấy nó bằng cột Lệnh, cột này sẽ giống với trường “Dòng lệnh” mà chúng ta đã thấy trong Process Explorer. Chỉ cần bỏ chọn hộp để ngăn nó tự động khởi động.

Đôi khi quy trình không thực sự có mục khởi động, trong trường hợp đó, bạn có thể sẽ phải thực hiện một số nghiên cứu để tìm ra nơi bắt đầu. Ví dụ: nếu bạn mở Thuộc tính hiển thị trên XP, bạn sẽ thấy một rundll32.exe khác trong danh sách, vì Windows sử dụng nội bộ rundll32 để chạy hộp thoại đó.

Tắt trong Windows 8 hoặc 10

Nếu đang sử dụng Windows 8 hoặc 10, bạn có thể sử dụng phần Khởi động của Trình quản lý tác vụ để tắt nó.

Sử dụng Windows 7 hoặc Vista Task Manager

Một trong những tính năng tuyệt vời trong Windows 7 hoặc Vista Task Manager là khả năng xem toàn bộ dòng lệnh cho bất kỳ ứng dụng nào đang chạy. Ví dụ: bạn sẽ thấy rằng tôi có hai quy trình rundll32.exe trong danh sách của tôi ở đây:

Nếu bạn đi tới Xem \ Chọn Cột, bạn sẽ thấy tùy chọn cho “Dòng lệnh” trong danh sách mà bạn muốn kiểm tra.

Bây giờ, bạn có thể thấy đường dẫn đầy đủ của tệp trong danh sách, mà bạn sẽ nhận thấy là đường dẫn hợp lệ cho rundll32.exe trong thư mục System32 và đối số là một DLL khác thực sự đang được chạy.

Nếu bạn duyệt xuống để tìm tệp đó, trong ví dụ này là nvmctray.dll, bạn thường sẽ thấy nó thực sự là gì khi bạn di chuột qua tên tệp:

Nếu không, bạn có thể mở Thuộc tính và xem Chi tiết để xem mô tả tệp, thông thường sẽ cho bạn biết mục đích của tệp đó.

Khi chúng tôi biết nó là gì, chúng tôi có thể tìm hiểu xem chúng tôi có muốn tắt nó hay không, chúng tôi sẽ đề cập đến bên dưới. Nếu hoàn toàn không có bất kỳ thông tin nào, bạn nên Google hoặc hỏi ai đó trên một diễn đàn hữu ích.

Khi vẫn thất bại, bạn nên đăng toàn bộ đường dẫn lệnh lên một diễn đàn hữu ích và nhận lời khuyên từ người khác có thể biết thêm về nó.


Bài ViếT Phổ BiếN

bài viết gần đây

Copyright vi.agwebrunner.com 2024
$config[zx-auto] not found$config[zx-overlay] not found