dll (Dynamic Link Library)

Те, кто регулярно работает в операционной системы Windows, могли обращать внимание, на тот факт, что основную массу файлов операционной системы занимают файлы в формате * .dll (Dynamic Link Library).

Эти файлы могут быть расположены в каждой папке приложения, и используются для хранения фрагментов логики приложения, кроме того эти библиотеки могут быть доступны из разных приложений.

Как правило нет никакого способа непосредственного запуска файлов DLL. Для этого в операционной системы Windows используется rundll32.exe приложение, которое выполняется запуск функций, хранящейся в общих DLL-файлах. Этот исполняемый файл является неотъемлемой частью Windows, и, как правило, не должен быть угрозой.

Примечание: исполняемый файл обычно находится в каталоге:

C:WindowsSystem32rundll32.exe

Но иногда шпионское программное обеспечение использует такое же имя файла (rundll32.exe) и/или запускается из другой директории для того, чтобы замаскировать себя. Если есть подозрение, что выполняются неизвестные программы, то необходимо выполнить детальную проверку запускаемых процессов, чтобы убедиться в правомерности запускаемого программного обеспечения.

Здесь стоит обратить внимание на тот факт, что зачастую используется системный файл rundll32.exe, но при этом запускаемые им библиотеки, могут быть неизвестного происхождения, что бывает не так очевидно при первом взгляде на процессы в диспетчере задач Windows.

Вместо того чтобы использовать Task Manager (стандартный диспетчер задач), мы скачаем бесплатную утилиту Process Explorer, разработанную Марком Руссиновичем и опубликованную на сайте Microsoft (https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx), чтобы выяснить, что происходит. Утилита имеет ряд преимуществ по сравнению со стандартной версией и является лучшим выбором для любой работы по устранению неполадок.

Просто запустите программу Process Explorer, далее в главном меню необходимо выбрать пункт File –> Show Details for All Processes, для отображения детальной информации о процессах. Скриншот ниже.

Process Explorer - Меню

Теперь, когда вы наведите курсор мыши на rundll32.exe в списке процессов, вы увидите всплывающую подсказку с подробностями о том, что это на самом деле:

Process Explorer - Выбор процесса

Или же вы можете щелкнуть правой кнопкой мыши, выберите Properties (Свойства), а затем посмотрите на вкладке Image, чтобы увидеть полный путь к файлу, который в настоящее время запущен, и вы даже можете увидеть процесс Родитель, который в данном случае является оболочкой для Windows (explorer.exe ), что свидетельствует о том, что он, вероятно, запускается с ярлыка или из раздела автозапуска.

Process Explorer - Детализация процесса

В конце этой статьи можно просмотреть сведения о файле так же, как мы это делали в разделе менеджера задач выше. В моем случае файл - это часть панели управления NVIDIA, и поэтому я не собираюсь ничего с ним делать.


Как отключить процесс Rundll32 (Windows 7)

Для отключения процесса в операционной системе Windows 7, достаточно запустить из командной строки утилиту msconfig.exe.

task

Далее необходимо перейти к вкладке Startup (Автозагрузка) и далее найти нужный процесс в колонке Command , которая должна быть такой же, как поле "Командная строка" в окне Process Explorer.

Просто снимите флажок, чтобы предотвратить его автоматический запуск при следующей загрузке системы.

Иногда процесс фактически не имеет элемента в автозагрузки, в этом случае придется выполнить поиск запускаемого файла например в реестре.

Об использовании сторонней утилиты, для поиска проблемных файлов автозапуска, я напишу в завершении этой статьи.


Как отключить процесс Rundll32 (Windows 8 или 10)

Если вы используете Windows 8 или 10, вы можете использовать раздел Автозагрузка диспетчера задач, для проверки состояния и отключения приложений, выполняющих запуску при загрузке операционной системы.

Windows 10 - Диспетчер задач - Автозагрузка


Использование диспетчера задач  (Windows 7)

Одной из главных особенностей диспетчера задач (Task Manager ) в Windows 7 или Vista, является возможность видеть полную командную строку для любого запущенного приложения. Например, вы увидите, что у меня есть два процесса  rundll32.exe в моем списке задач на скриншоте ниже:

Диспетчер задач

Если мы перейдем в ВидВыбор столбцов (ViewSelect columns), то в списке колонок увидим опцию "Командная строка" (Command Line), который хотим увидеть в диспетчере задач, ставим соответствующую галочку.

Теперь в диспетчере задач можно увидеть полный путь к файлу в отдельной колонке. Это правильный путь для rundll32.exe в каталоге System32, а его аргумент путь к другой DLL, которая на самом деле работает в настоящий момент.

Диспетчер задач - отображение пути к файлам

Если навести курсор мыши, то отобразится полный путь к файлу. Можно пойти по этому пути и убедится, в том что библиотека *.dll запущенная c помощью rundll32.exe действительно принадлежит программе которую мы устанавливали ранее в системе.

Можно открыть Свойства библиотеки и посмотреть на детали

В противном случае, вы можете открыть Свойства и посмотреть на вкладке Подробно (Details) информацию о разработчике этого файла. Скриншот ниже.

Свойство файла

Выяснив эти детали можно понять, стоит исключать данную библиотеку из автозагрузки или нет. Если вы не в курсе что это за библиотека, то в этом вам поможет Google.


Использование диспетчера задач  (Windows 10)

Тем же функционалом, который присутствует в диспетчере задач в Windows 7 можно воспользоваться и в диспетчере задач в Windows 10.

Windows 10 - Диспетчер задач - Процессы

Для подробного отображения сведений о текущих запущенных процессах, необходимо в диспетчере задач перейти во вкладку "Подробности".

Для того, чтобы отображался столбец "Командная строка", необходимо щелкнуть правой кнопкой мыши по соседнему столбцу и в контекстном меню пункт "Выбрать столбцы", далее в списке необходимо выбрать пункт "Командная строка", поставить галочку и нажать Ок. Результат представлен на скриншоте выше.


AnVir Task Manager

В завершении рассмотрения программ, обеспечивающих поиск неуставного программного обеспечения, нельзя не обратить внимание на еще один бесплатный, но полезный продукт  AnVir Task Manager, который обладает следующими функциями:

  • Управление автозагрузкой, запущенными процессами, сервисами и драйверами,
  • Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему,
  • Может заменять стандартный Диспетчера Задач.

Данная программа доступна для загрузки с сайта http://www.anvir.net. Одной из особенность AnVir является поиск всего автоматически запускаемого программного обеспечения в операционной системе Windows.  В главном окне программы показаны названия процессов, степень их риска, где определен механизм автозапуска (например в реестре или в качестве системного сервиса), указана информация о разработчике, и путь к файлу.

AnVir Task Manager

Как правило из всего программного обеспечения указанного выше, в части управления процессами, AnVir  можно считать лидером. AnVir  обладает не только удобным в т.ч. русскоязычным интерфейсом, ни позволяем достаточно гибко управляем процессами запуска различного ПО. Поэтому при исследовании запущеных процессов, я бы рекомендвоал начинать с AnVir ,  и потом в дополнение использовать Process Explorer.


17th Ноя 2016
Теги:
Загрузка Все права защищены © 2016 ИТ-Инженер (Краснодар)
 
把手拿回